ACL----访问控制列表(是一种策略)
ACL原理
配置了ACL的网络设备,会根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然后对流量进行预定义的动作处理。
ACL功能
1.访问控制:在设备上的流入或流出方向上,匹配流量,然后执行动作(先匹配,在执行动作:允许/拒绝)
2.抓取流量:ACL经常会跟其他协议共同使用,当与其他协议共同使用时,ACL一般仅作流量匹配,对应动作又其他协议完成
eg:防火墙、路由策略、QoS
ACL的匹配规则
自上而下,逐一匹配;匹配成功,则直接按该条目执行,不继续向下匹配。
若都没有匹配上,则执行默认规则:
思科设备ACL访问控制列表末尾隐含条件:拒绝所有流量
华为设备ACL访问控制列表末尾隐含条件:允许所有流量
ACL分类
1.基本ACL
只能基于IP报文的源IP地址、报文分片和时间段来定义规则
编号:2000-2999(规则编号:用于区分不同的规则列表)
2.高级ACL
基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口
号等信息来规定
编号:3000-3999
3.二层ACL
使用报文的以太网帧信息来定义规则
编号:4000-4999
4.用户自定义ACL
IP报文、TCP报文、ICMP、端口号、MAC
编号:5000-5999
需求一
PC1可以访问192.168.2.0/24网段,PC2不行
分析:仅对源有要求,配置基本ACL即可
配置原则:
由于基本ACL仅关注源IP地址,故配置时尽量靠近目标,避免对其他地址访问误伤。
配置:
**[R2]acl 2000**
二、设定规则
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //设定规则,拒绝源IP为192.168.1.2的地址通过
三、允许所有
[R2-acl-basic-2000]rule 10 permit source any //在最后允许所有 规则号:华为默认规定步长为5,方便后期维护时增加或删除规则。
四、在接口调用ACL列表
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在该接口出方向调用 每个接口仅能调用一张ACL列表。但一张表可以在多个接口被调用方向:出方向、入方向;根据流量流动方向来判断,一个接口即可以是出接口也可以是入接口。