1,访问控制:在路由器流量流入或流出的接口上,匹配流量,之后执行相应的动作。
Permit ---允许
Deny --- 拒绝
2,抓取感性取流:ACL的另一个作用就是可以和其他服务结合使用,ACL只负责抓取流量,而其他服务执行相应的动作。
比如:流控 --- ACL+ QOS
匹配规则 ---自上而下,逐一匹配。如果匹配上对应的流量,则将按照对应的动作来执行
思科 ---在ACL列表末尾隐含一条拒绝所有的规则。
华为 ---在ACL列表末尾没有隐含规则。
ACL列表的分类 ---基础ACL——仅关注数据包中的源IP
高级ACL——不仅关注数据包中的源IP地址,还关注数据包中的目标IP地址,以及协议和端口号。
二层ACL
用户自定义ACL
需求一:只允许PC1访问3.0网段,PC2不行
基础ACL配置位置原则 …- 因为基础ACL仅关注数据包中的源IP,所以,应该尽可能的放在靠近目标的位置,避免访问其他目标受限。
1,创建ACL列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using rules)---基础ACL
INTEGER<3000-3999>Advanced access-list(add to current using rules)…高级ACL
INTEGER<4000-4999>SpecifyaL2 acl group ---二层ACL
2,写规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0---通配符 ---和反掩码类似,0代表不可变,1代表可变但是0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any ---允许所有
[r2]display acl 2000---查看ACL列表的规则