ACL
作用
- 匹配路由,流量等等
- 主要用于匹配流量
- 通过ACL匹配到流量后,可以对流量加以控制, 通过流量过滤工具对流量拦截
案例
需求
pc1禁止访问server1
Source-ip 192.168.1.1 destination 192.168.2.101 ----- 拒绝
acl 2000
rule 10 deny source 192.168.1.1 0
#上面是匹配,下面是过滤
int g0/0/1
traffic-filter inbound acl 2000
ACL原理
- acl列表编号 不同 级别不同 (级别不同,匹配到数据信息位置不同
- 2xxx 基础访问控制列表 (匹配到数据包中源地址)
- 3xxx 高级访问控制列表 (匹配到数据中源/目的地址,源/目的端口 / 协议号)
ACL 2000
- 匹配数据源地址,只能对源地址进行操作
Rule 规则
- 规则ID, 默认从规则ID小位置开始匹配
rule 10 deny source 192.168.1.1 0
- 数据一旦匹配规则,那么将不再继续向下匹配,将范围广泛匹配规则放置在下方(规则ID大)
- 匹配
10.0.0.0 255.0.0.0 /8
172.16.0.0 255.255.0.0/16
192.168.1.0 255.255.255.0/24
192.168.1.1 255.255.255.255/32
ACL匹配, ------- wildcard 通配符
10.0.0.0 0.0.255.255
172.16.0.0 0.0.255.255
192.168.1.0 0.0.0.255
192.168.1.1 0.0.0.0`
过滤工具-Traffic-filter
- 一个接口的一个方向 只能设置一个ACL
需求
- PC1禁止访问server1
Source-ip 192.168.1.1 destination 192.168.2.101 ----- 拒绝
acl number 3000
rule 10 deny ip source 192.168.1.1 0 destination 192.168.2.101 0
rule 12 deny tcp source 192.168.1.2 0 destination 192.168.2.101 0 destination-port eq www
rule 14 deny tcp source 192.168.1.2 0 destination 192.168.2.102 0 destination-port range ftp-data ftp
rule 20 permit ip