目录
一、ACL的功能
1.访问控制:在路由器的流量流入或者流出接口配置ACL,然后匹配流量,对不同的流量进行设定的动作。
2.抓取流量(抓取感兴趣流),可以和其他协议或者服务一起联合使用,ACL负责抓取流量,具体的动作要看不同的服务和协议。
二、ACL匹配规则
自上而下,逐一匹配,一旦匹配成功则不继续向下匹配。
思科:末尾隐含一条拒绝所有规则。
华为:末尾隐含一条允许所有规则。
ACL的分类:
基础ACL—仅关注数据包中的源IP地址。
高级ACL—除了关注源IP以外,还关注数据包中的目标IP,已经一些协议类 型和端口号。
二层ACL—可根据报文的以太网帧头信息来定义规则
用户自定义ACL
用户ACL
对于基础ACL一般跟靠近目标,原因:基础的ACL只关注源,所有靠近目标 能够减少误操作。
三、基础ACL配置
[r2]acl 2000——创建ACL
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.255—写规则
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl ?——接口调用ACL
[r2-acl-basic-2000]rule permit source any ——允许所有
一个接口只能匹配一张列表
四、高级ACL配置
[r1]acl 3000——创建ACL
[r1-acl-adv-3000]rule 1 deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000——接口调用,注意 流量的方向
[r1-acl-adv-3001]rule deny tcp source 192.168.1.100 0.0.0.0 destination 192.168.0.2 0.0.0.0 destination-port eq 23—只拒绝1.100访问0.2的telnet服 务。