一.ACL功能
ACL技术-----访问控制列表,数据流的筛选和匹配
二.ACL分类
基本ACL:2000-2999 只关心数据的来源(源地址)------容易误伤其他网段
高级ACL:3000-3999 (源IP、目的IP、源端口、目的端口、协议)---数据五元组-----精确筛选和匹
配
二层ACL:4000-4999 二层数据帧的头部信息(目的MAC、源MAC、协议类型
用户自定义的ACL:使用报文的头部协议、字符串、子网掩码 5000-5999
三.ACL组成
组成:由若干条permit或deny的语句组成,每一条语句就是一个规则
语句形式 : rule 1deny source 192.168.1.10 0.0.0.0
规则ID:自动生成,编号从5开始,每条语句之间间隔5个数字,5的倍数
手工指定:0、1、2、3……
通配符:0是匹配位,严格匹配,1是随意匹配
练习1:除了拒绝192.168.1.1外,允许192.168.1.0网段中的其他IP地址通过
rule deny192.168.1.1 0.0.0.0
rule permit192.168.1.0 0.0.0.255
练习2:
rule permit192.168.2.0 0.0.0.255
rule deny192.168.2.1 0.0.0.0
高级ACL的规则:
rule permit tcpsource 192.168.1.11 0.0.0.0 destination 100.1.1.1 0.0.0.0 destination-port 23
四.匹配机制
包过滤方向:
出方向:数据流出的方向
入方向:数据流入的方向
匹配机制:
数据包到达接口先检查是否应用ACL规则
按照ACL的规则编号从小到大,依次匹配
所有规则都不匹配,则会检查接口的默认动作,默认允许则数据可以通过,如果拒绝则丢弃