ACL:访问控制列表/访问控制协议
虽然划分了vlan,但不是流量控制,只是单纯的划分了广播域,而且三层交换机,或者单臂路由,是可以实现不同的vlan之间的通信。
ACL:
1.用来对数据包做访问控制(丢弃,放行)
2.结合其他协议,匹配范围(传输层 tcp udp)
ACL可用控制协议的流量是否通过
ACL:访问控制,决定流量到底能不能通过(通过=放行 不通过=丢弃)
主要配置的设备:路由器
1.ACL可以配置多条策略
2.根据报文来进行匹配和区分
分类
2000-2999:基本ACL,只能匹配原ip地址
3000-3999:高级ACL,可以匹配原ip地址,目标ip地址,源端口号,目标端口号,三层和四层的协议字段(icmp,tcp,udp)
4000-4999):根据数据包的原mac地址,目的mac地址
基本acl:尽量用在靠近目的地的接口
高级acl:尽量用在靠近原的地,保护带宽(不绝对)
acl number 2000创建基本acl
acl number 3000 创建高级acl
基本acl命令
rule 5 deny/permit source any 拒绝或者接受所有
rule 5 deny/permit source 192.168.10.10 0 拒绝或者接受来自192.168.10.10的数据 0为通配符
(undo) traffic-filter inbound/outbound acl 2000 在接口设置 允许或者拒绝acl2000进入接口或者放行接口
多条策略的匹配原则
1.有则匹配,无则放通2.匹配到第一条后,后续相同的将不在匹配
通配符 “0”匹配 “1”随机分配
高级acl命令
rule deny icmp source 192.168.10.10 0 destination 192.168.10.20 0
禁止原ip 192.168.10.10ping目标ip地址192.168.10.20
rule deny tcp source 192.168.10.10 0 destination 192.168.40.40 0 destination-port eq 80
禁止原ip192.168.10.10访问目的80端口的192.168.40.40ip地址
(undo) traffic-filter inbound/outbound acl 3000 在接口设置 允许或者拒绝acl3000进入接口或者放行接口
permit 允许 deny 拒绝
匹配原则:一旦命中,则停止匹配
基本/高级acl:一个接口,只可以调用一个acl number,需要删除,在调用