1、ACL技术背景
想要过滤掉一些访问对象,或者设定访问环境(比如:可以访问网页,不能文件下载)等,通俗地讲就是建立访问规则,设定访问权限
2、ACL的应用
①应用在接口的acl,可以过滤感兴趣的数据包(原目地址,协议,端口号)
②应用在路由协议上,可以匹配相应的路由条目
③NAT、IPSEC VPN、QOS可以匹配感兴趣的数据流(匹配个性化设置的数据流)
3、ACL的工作原理
当数据流经过时,由于接口启动了ACL,此时路由器会对报文进行检查,设定访问权限
4、ACL的种类
基础ACL——编号为2000-2999,依据数据包种的源ip地址匹配数据
高级ACL——编号为3000-3999,依据数据包中的源和目标ip、源和目标端口号、协议号匹配数据
数据包五元组:源ip地址、目标ip地址、协议类型、源端口号、目标端口号
二层ACL——编号4000-4999,可以依据数据包中的mac、vlan id、802.1q信息进行匹配数据
自定义ACL——编号5000-5999
5、ACL的实验操作
路由器配置:
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[R1-GigabitEthernet0/0/2]q
###基础acl建立
[R1]acl 2000 ##建立acl 2000
[R1-acl-basic-2000]rule deny source 192.168.1.1 0 ##限定拒绝源ip固定为192.168.1.1的访问
[R1-acl-basic-2000]int g0/0/1 ##计划与路由器接口g0/0/1绑定
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ##限定出去的流量匹配acl2000检查
[R1-GigabitEthernet0/0/1]q
###高级acl建立
[R1]acl 3000 ##建立acl 3000
##规则限定拒绝tcp协议,源ip为192.168.1.2,目标端口为80,也就是限定访问www
[R1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination-port eq 80
[R1-acl-adv-3000]int g0/0/0 ###计划绑定g0/0/0接口
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 ##限定进入的流量访问时进行acl 3000匹配
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
traffic-filter inbound acl 3000
#
return
实验结果:
6、总给ACL的应用原则和匹配规则
①一个接口的一个方向只能与一个acl表匹配,比如inbound和outbound分别匹配一个acl
入口:先匹配后路由(更节省路由器资源),出口:先路由后匹配;
②一个acl可以创建多个rule,从大到小排序,从上到下依次匹配;
③一旦被rule匹配了,就不再向下匹配了
④一般基础acl配置在流量出口,高级acl配置在流量的入口,为了节省路由器的资源
7、拓展,通配符掩码学习
子网掩码转化为二进制的时候,表示对应为1的为网络位不变,为0的为主机位可变,且必须时连续的1;
通配符掩码规则:就是一个点分十进制表示,转化为二进制的时候,对应为0的部分固定不变,对应为1的可变,可以不是连续的1或0,记住规则!!!0不变1变
对应例题讲解:
①指定192.168.10.1这个数据包,那么对应所有位不能变,全为0,通配符掩码为0.0.0.0
②指定192.168.10.0/24这个网段,这是标准的c类网段,也就是前24位不变,后8位任意,那就是0.0.0.11111111,转化为点分十进制为0.0.0.255
③指定拒绝192.168.10.0/24的所有奇数网段,在第②题的基础上继续,奇数的特点就是第32位一定是1,也就是第32位固定不变,对应的通配符掩码是0.0.0.11111110,转化为点分十进制为0.0.0.254,通配符掩码也是要跟ip地址结合用,192.168.10.1 0.0.0.254
那么如果是偶数段,固定最后一位是0,通配符掩码不变,192.168.10.0 0.0.0.254