系列文章传送门:
【零基础入门计算机网络】第三章 OSI分层系统模型与TCP/UDP详解
【零基础入门计算机网络】第四章 远程登陆Telnet操作与DHCP操作
【零基础入门计算机网络】第八章 RIP协议与OSPF协议的比较
【零基础入门计算机网络】第九章 五分钟真正了解OSPF动态路由协议
【零基础入门计算机网络】第十章 ACL控制流量的方法有很多,你又知道哪几种?
【零基础入门计算机网络】第十二章 私网与公网的转换---NAT网络地址转换技术
文章目录:
一、ACL的基本知识
二、ACL的分类
三、ACL的配置
一、ACL访问控制列表的基本知识
(一)ACL访问控制列表的作用
1、访问控制:在路由器流量流入或者流出的接口上,匹配流量,之后执行设定好的动作。(permit ---允许,deny---拒绝)
2、抓取感兴趣流:ACL可以和其他服务结合使用,ACL只负责抓取流量,其他服务负责执行相应的处理。
(二)ACL的匹配规则
自上而下,逐一匹配,一旦匹配上则将按照对应的动作来执行,而不再向下匹配。
思科体系:ACL访问控制列表末尾隐含了一条拒绝所有的规则。
华为体系:对匹配不上的流量不做额外处理。
二、ACL的分类
(一)基本ACL
匹配流量时,仅关注数据包中的源IP地址。
(二)高级ACL
匹配流量时,不仅关注数据包中的源IP地址,还关注数据包中的目标IP地址。以及协议和端口号
(三)二层 ACL
(四)用户自定义ACL
三、ACL的配置
(一)需求一:要求PC1可以访问3.0网段,但是PC2不行
基本ACL配置位置原则-因为基本ACL只关注数据包中的源IP,所以 肯能导致误伤,所以,在配置的时候,应该尽可能的靠近目标。
1、创建ACL访问控制列表
[r2]acl 2000
[r2-acl-basic-2000]
2000-2999 基本ACL
3000-3999 高级ACL
4000 -4999 二层ACL
2、给ACL列表中添加匹配规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]rule permit source any ---允许所有
[r2-acl-basic-2000]display acl 2000 ---查看ACL列表
通配符: 1代表可以变,0代表不可变
华为设备默认以5为步调自动添加规则序号,为了使插入和删除 规则更加方便。
[r2-acl-basic-2000]rule 8 deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]undo rule 8
3、接口调用ACL列表
[r2-GigabitEthernet0/0/l]traffic-filter outbound acl 2000
切记:一个接口的一个方向只能调用一张ACL列表,一个接口可以有两张表
(二)需求二:要求PC1可以ping通PC3,但是不能ping通PC4
高级ACL列表的位置匹配规则---因为高级ACL列表进行了精确匹配,所以,不会出现误伤,在调用的时候应该尽量靠近源,减少资源的占用。
[rl]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表
[rl-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168
.3.3 0.0.0.0
[rl-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 --- 通过名称进行调用
(三)需求三:要求PC1可以Ping通R2,但是不能telnet R2
[rl-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0destination 192.168.2.2 0.0.0.0 destination-port eq 23
都看到这里了,创作不易,大家点个赞再走呗!!(。・ω・。)ノ♡