第七天
补充遗漏点:
路由器的一个接口包括两个方向,流量进入和流量发出
ACL访问控制列表
1.访问控制,在路由器流入或流出的接口上,匹配流量,然后执行设定好的动作。
(permit--运行,deny--拒绝)
2.抓取感兴趣流:ACL的另一个作用就是和其他服务结合。ACL负责按照事先制定的规则抓取流量,而其他服务对匹配到的流量执行相应的动作。
ACL的匹配规则,自上而下,逐一匹配。匹配上就按照对应的动作来执行,不再向下匹配。
不同设备体系有不同的默认规则
思科体系设备,ACL列表末尾隐含了一条拒绝所有的规则。
华为体系设备,对ACL列表中匹配不到的流量不做任何处理。
ACL的分类(华为):
基本ACL:只关注数据包中的源IP
高级ACL:关注数据包中源IP以及目标IP,及协议类型和目标端口号
(这里的基本ACL和高级ACL默认适用于IPV4)
二层ACL,用户自定义ACL(暂不学习)
基本ACL的位置原则
由于基本ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他网址访问误伤
创建ACL列表
<2000-2999> 为基本ACL
<3000-3999> 为高级ACL
<4000-4999> 二层ACL
在ACL列表中添加规则
其中的0.0.0.0为通配符,通配符--0对应位不可变,1对应位可变,通配符和反掩码的区别是通配符的0和1可以穿插使用
允许所有流量通过
查看acl表,可以看到默认此ACL表的名字为1,其中有两条规则,并且规则的序号默认以5为步调自动添加,主要是为了方便添加和删除规则
[r1-acl-basic-2000]undo rule 10 按序号删除规则
在接口下调用规则
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
注意:一个接口的一个方向只能调用一张ACL表
通过命名的方式创建ACL表(以高级ACL表为例)
高级ACL的位置原则
由于高级ACL对流量进行精准的匹配,可以避免误伤,所以调用时尽量靠近源地址,节约链路资源
[r1]acl name gj 3000
[r1-acl-adv-gj]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.3 0.0.0.0
通过命名的方式调用ACL表
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name gj
以TCP(端口号为23)举例
[r1-acl-adv-3001]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.
2 0.0.0.0 destination-port eq 23
高级ACL可设定目标端口号
[r1-GigabitEthernet0/0/0]undo traffic-filter inbound
删除ACL表的调用
(本文为初学者学习笔记,若有错误之处,感谢大佬指正!)