acl:访问控制列表
1、对数据包能否访问做控制
2、结合其他协议(例:icmp http udp)从而进一步控制范围
acl可以控制相关协议的流量能不能通过
acl可以配置多条策略
2000~2999 基本acl 只能匹配源ip地址
3000~3999 高级acl 可以匹配源ip、目标ip以及源端口和目的端口号、以及三层和四层的相关协议(例:icmp udp tcp)
创建格式命令:acl number 2000
拒绝所有命令:rule deny source any
允许所有:rule permit source any
调用接口:traffic-fitter outbound acl 2000 (出口)
traffic-fitter inbound acl 2000 (入口)
多条策略的匹配原则:
1、有则匹配,无则放行
2、匹配到第一条acl策略后,即使后面还有相同的acl策略也将不再匹配
一个接口只能配一个acl(即使编号不同也不行)
172.16.40.0/24 匹配子网当中16 20 24 28
10101100.00010000.00101000.00000000
10101100.00010000.00101000.00010000 (16)
10101100.00010000.00101000.00010100 (20)
10101100.00010000.00101000.00011000 (24)
10101100.00010000.00101000.00011100 (28)
根据通配符规则:0表示匹配(即不变的) 1表示随机分配(即有变化的)
即:不变的为0 有变动的为1
可得:
00000000.00000000.00000000.00001100 转换为十进制可得反掩码为:
0.0.0.12
0.0.0.255 一般用于网段
0(即:0.0.0.0)一般用于IP地址
acl的应用原则:
1、在同一个方向中,一个接口只能调用一个acl
2、一个acl中可以有多个rule规则,按照规则id从小到大排序,从上往下依次执行(一般来说id小的优先级要高)
3、数据包一旦被某个rule匹配执行,就不会再接着向下匹配
4、做数据包访问控制时,默认放过所有(即你不设置规定时,系统默认放过所有。注:仅适用华为设备)
高级acl命令:rule deny icmp soure 192.168.10.1 0 destination 192.168.0.20 0(这里的意思为拒绝192.168.10.1的所有网段访问目的ip 192.168.0.20 其中icmp即通过网际控制协议来达到控制访问的目的)
注:一般来说基本acl靠近目的,而高级acl靠近源(不绝对,依据具体情况而做决定)
client(客户端)设置命令:
rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80(即允许192.168.1.30的ip访问192.168.3.30的ip 通过tcp协议控制80端口 TCP协议即端对端)
操作示意图如下:
ACL策略
各个配置连线图:
服务器与pc客户端的配置如下:
这里的交换机不用配置,它只提供端口
路由器的配置如下图:
配置完成后测试一下,抓包看一下