ACL:访问控制协议
核心作用:虽然划分了vlan,但不是流量控制,只是单纯划分广播域,而且通过三层交换机或单臂路由可以实现不同vlan间的通信。
1、ACL可以对数据包进行访问控制(丢弃或放行)
2、结合其他协议(tcp/udp/http等)匹配范围,ACL可以控制协议的流量(数据包)是否通过
ACL主要配置设备:路由器
1、ACL可以配置多条策略 2、根据报文来进行匹配和区分
ACL的组成:ACL由若干条permit(允许)或deny(拒绝)语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作
2000~2999:基本ACL,只能匹配源ip地址
3000~3999:高级ACL,可以匹配源ip地址,目标ip还可以匹配源端口号,目标端口还包括三层或四层的协议字段
基本ACL:尽量用在靠近目的地
高级ACL:尽量靠近源的对方,保护带宽
多条策略的匹配原则:1、有则匹配,无则放通
2、匹配到第一条后续相同的将不再匹配,一个端口只能匹配一条策略,只能调用一个ACL方法,要配其他的·,必须删除原先的
通配符:0表示匹配,不能变,1表示随机分配,是可变的
例题1:172.168.40.0/24 匹配子网中的 16 20 24 28
把十进制换算为二进制-- 10101100.10101000.10100000.00000000
00010000(16)
00010100(20)
00011000(24)
00011100(28)
00001100 -- 12
再将二进制转换为十进制
反掩码即为 0.0.0.12
竖着看每一列,全是0或1,结果就为0(不变)
有1和0就为1(可变)
例题二:192.168.3.30的反掩码
11000000.10101000.00000011.00011110
00000000表示写死,一位都不能动
反掩码192.168.3.30 0.0.0.0
192.168.3.30 0.0.0.255
例题三:192.168.233.0/24 所有的偶数匹配
192.168.233一位都不能变,即全为0
00000000.00000000.00000000.00000000(0)
00000000.00000000.00000000.00000010(2)
00000000.00000000.00000000.00000100(4)
00000000.00000000.00000000.00000110(6)
。。。。。。。。。。。。
最后发现,最后一位不可变,前七位都可变,即为11111110,换算成十进制为254
0.0.0.254
例题四:192.168.233.0/24 匹配20 22 23 24
00010100 20
00010110 22
00010111 23
00001111 24
00001111 转换成十进制为15
反掩码为0.0.0.15
ACL实验
1、仅允许pc1访问pc3
在AR1中:
int g0/0/0
ip address 192.168.1.254 24 为接口配网关地址
int g0/0/1
ip address 192.168.3.254 24
int g0/0/02
ip address 192.168.2.254 24
q
acl number 2000 基本acl
rule permit source 192.168.1.10 0 允许pc1的ip地址访问 192.168.1.10 固定ip 0 反掩码
rule deny source any 拒绝所有
int g0/0/2 在接口处调用,基本acl,靠近目的地(g0/0/2)
traffic-filter outbound acl 2000
2、禁止整个10网段访问服务器
acl number 3000 调用高级acl 反掩码
rule deny icmp source 192.168.10.1 0.0.0.255 destination 192.168.3.30 0
禁止icmp 把整个10网段给ban了 ip地址
q
int g0/0/0 调用端口 高级acl靠近源地址
traffic-filter inbound acl 3000
3、仅允许client访问web服务器,有协议有端口,用高级acl
acl number 3001
rule permit tcp source 192.168.1.30 0 detination 192.168.3.30 0 detination-port eq 80