目录
一、ACL工作原理:
在这个接口的地方定义N条规则进行筛选过滤数据包,如果匹配就放行,如果拒绝就丢弃,规则判定全部结束之后会进入一个隐藏的规则。
二、ACL的匹配规则:
一个接口的方向只能调用一个ACL,一个ACL可配置多条规则,从上往下依次匹配,匹配即停止。
三、ACL访问控制列表:
1.用来对数据包做访问控制,要么丢弃,要么放行。
2.结合其他协议,匹配范围 传输层(端到端) tcp udp 物理层(点到点)ACL可以控制协议的流量是否通过。
访问控制列表的编号:
2000-2999:基本ACL 只能匹配源ip地址
3000-3999:高级ACL 既可以匹配源ip,目标ip,源端口号,目标端口,三层和四层的协议字段 icmp tcp udp
4000-4999:根据数据包的mac源mac地址、目的mac地址,802.lq 优先级,二层协议。
基本acl:尽量用在靠近目的地方 (视情况而定,不绝对) 用于限制网络
高级acl:尽量靠近源的地方,保护带宽(视情况而定,不绝对) 用于限制协议和网络
四、ACL策略:
ACL:访问控制,决定流量到底能不能通过。通过即放行,不通过则丢弃。主要的配置设备为:路由器(主要)
1.ACL可以配置多条策略。
2.根据报文来进行匹配和区分。
多条策略的匹配原则:
1.有则匹配,无则放通。
2.匹配到第一条之后,后续相同的将不在匹配。
一个端口只能匹配一条策略,如果想换掉需要把原来的删掉。
入站(inbound)及出站(outbound)方向
根据ip数据包去与回时的原目的ip地址,选择在入站或出站时应用ACL。
五、反掩码:
0表示严格匹配,1表示随机分配
172.16.40.0/24 匹配子网当中16 20 24 28
00010000
00010100
00011000
00011100
00001100 12
0.0.0.12
192.168.3.30 反掩码
00011110
00000000
192.168.3.30 0
192.168.3.0 0.0.0.255
192.168.233.0/24 所有的偶数匹配
00000000.00000000.00000000.11111110 不能变的只有最后一位,严格匹配,所以为0
192.168.233.0/24 20 22 23 24
00010100
00010110
00010111
00011000
00001111
0.0.0.15
0.0.0.255 后面八位都可动,所以是网段
0.0.0.0 后面八位都不可动,所以是ip地址。
六、ACL实验:
网络拓扑结构:
PC1、PC2、Client1、PC3、Server1设备具体配置如图所示:
路由器AR1具体配置如下图所示:
测试结果如下图所示: