1.ACL 概述及产生的背景
原理:当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
2、ACL种类
- 编号2000-2999—基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999—高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
- 编号4000-4999—二层ACL,MAC、VLAN-id、802.1q
3、ACL(访问控制列表)的应用原则:
- 基本ACL:尽量用在靠近目的点
- 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
4、匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
5、实验拓扑
5.1AR1配置
[AR1]int g0/0/0 //进入0口
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 //配置IP地址
[AR1-GigabitEthernet0/0/0]int g0/0/1 //进入1口
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24 // 配置IP地址
[AR1-GigabitEthernet0/0/1]int g0/0/2 //进入2口
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.1 24 //配置IP地址
acl 2000 //1.建立acl 命名为2000
rule 5 deny source 192.168.1.1 0 //默认编号5 拒绝 来自192.168.1.1 的流量
int g0/0/1 //进入1口
traffic-filter outbound acl 2000 //在1口调用acl 2000
高级:
acl number 3000 //建立acl 命名为3000
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq www(80)//配置rule规则,拒绝192.168.1.1的访问
5.3实验结果
c1可以访问服务器1,但是无法访问www网页(网页端口80被封锁了)
c2则都可以访问: