ACL协议全名访问控制协议,作用是确定流量到底能不能通过,通过就放行,不通过就丢弃。
vlan划分虽然可以做到广播域划分,却做不到流量控制,一些时候我们希望流量可以单项通过,或者筛选指定网段甚至指定ip地址的流量,这时候就需要ACL控制协议。
ACL的原理:
1,对数据包进行访问控制,控制是丢弃还是保存。
2,结合其他协议匹配范围。匹配范围:传输层,可以对协议的流量进行控制。
acl的作用:
1,ACL可以控制多条策略。
2,根据报文进行匹配
ACL主要分为三类:
2000-2999:基本ACL,只匹配源ip地址,设置的时候尽量靠近目的地。
3000-3999:高级ACL,既可以匹配源ip,目标ip,还可以匹配源端口号和目标端口号,还有三层和四层的协议字段。设置的时候尽量靠近源,可以保护带宽。
4000-4999:二层ACL,可以根据数据包的源mac地址,目的mac地址,802.lq匹配。
acl创建的时候默认规则步长为5,这是为了后续插入规则。
ACL协议的控制处理过程图解:
先写的规则会先生效,后面写的规则如何和前面冲突就以先生效的规则为准。
通配符:在ACL语句中,我们会遇到这种情况
rule 5 deny soure 192.168.10.10 0.0.0.255
其中最后一位0就是通配符,通配符是一个32比特长度的数值,用于指示ip地址中哪些位置需要严格匹配,哪些位置无需匹配。
这个语句是规则5号,禁止192.168.10.0网段的流量通过,我们把ip地址和通配符转换为二进制会得到
11000000.10101000.00001010.00001010 ip地址
00000000.00000000.00000000.11111111 通配符
其中0的位置表示严格匹配,不能变化,1的位置表示不进行匹配,可以随意变化。