一.acl技术
ACL——访问控制列表
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息 | 四层头部信息 |
---|---|
源、目IP | 源、目端口号TCP/UDP协议 |
访问控制列表的调用的方向:
入 | 出 |
---|---|
流量将要进入本地路由器,将被本地路由器处理 | 已经被本地路由器处理过了,流量将离开本地路由器 |
策略做好后,在入接口调用和出接口调用的区别:
入接口调用 | 出接口调用 |
---|---|
对本地路由器生效 | 对本地路由器不生效,流量将在数据转发过程中的下一台设备生效。 |
访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下四配
3.ACL访问控制列表隐含个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目
访问控制列表类型:
标准访问控制列表 | 扩展访问控制列表 |
---|---|
只能基于源IP地址进行过滤 | 可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准,访问控制列表,流量控制的更加精准 |
标准访问控制列表的列表号是2000- 2999 | 扩展访问控制列表的列表号是3000- 3999 |
调用原则:靠近目标 | 调用原则:靠近源 |
二.设置简单的acl命令
标准访问控制列表
如图所示拓扑结构:要让vlan10的客户机不能访问vlan20的客户机:
设置
C1:192.168.10.10 255.255.255.0 192.168.10.1 ,划分为vlan10
C2:192.168.20.10 255.255.255.0 192.168.20.1 ,划分为vlan20
C3:192.168.10.20 255.255.255.0 192.168.10.1 ,划分为vlan10
C4:192.168.20.20 255.255.255.0 192.168.20.1 ,划分为vlan20
二层交换机SW1:
[ ]vlan batch 10 20 //创建多个vlan
[ ]int e0/0/1