ACL为访问控制列表,主要作用就是允许或拒绝源地址和反掩码(/24的反掩码:0.0.0.255)通过
vlan仅划分了广播域,不能控制流量,但是通过三层交换机或者单臂路由仍可以实现不同vlan之间的通信。acl访问控制协议可以决定访问的流量是丢弃或是放行。
①工作原理
当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。acl主要配置的设备时是路由器:“一个匹配工具可以对多个报文进行分配和区分”
应用场景:1、匹配IP流量 2、根据指定的协议阻止指定的端口 3、可以匹配多条策略
ACL种类
基本ACL(2000-2999):只能匹配源IP地址
高级ACL(3000-3999):可以匹配源IP,目标IP,源端口、目标端口等三层和四层的字段和协议
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息指定规则。
ACL的应用原则
基本ACL,尽量用在靠近目的点
高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源)
但是不绝对,视情况而定,主要是为了保护带宽
多条策略匹配原则
有则匹配,无则放通
匹配到第一条之后,后续相同的不再匹配
一个端口只能调用一个cal策略
删除原有策略之后才能删除其他的
基本acl命令
rule 5 deny/permit source any 拒绝或者接受所有
rule 5 deny/permit source 192.168.10.10 0 拒绝或者接受来自192.168.10.10的数据 0为通配符
(undo) traffic-filter inbound/outbound acl 2000 在接口设置 允许或者拒绝acl2000进入接口或者
通配符 “0”匹配 “1”随机分配
高级acl命令
rule deny icmp source 192.168.10.10 0 destination 192.168.10.20 0
禁止原ip 192.168.10.10ping目标ip地址192.168.10.20
rule deny tcp source 192.168.10.10 0 destination 192.168.40.40 0 destination-port eq 80
禁止原ip192.168.10.10访问目的80端口的192.168.40.40ip地址
(undo) traffic-filter inbound/outbound acl 3000 在接口设置 允许或者拒绝acl3000进入接口或者放行接口
permit 允许 deny 拒绝