内容与预知
目录
实验一:基础ACL的配置(拒绝某台pc的所有访问,直接ping不通):
1.ACL的概述与相关内容
1.1 ACL 概述及 产生的背景
ACL: access list 访问控制列表:
在网络环境下,通常运用黑名单和白名单来设置外部的访问权限:
- 白名单:默认拒绝所有,放一个 可以通信一个 自己内 部的业务
- 黑名单:默认开放所有,加入一个,不能通信一个 。
1.2 ACL 应用 :
- 应用在接口的ACL-----过滤数据包(五元组:源IP地址、目的IP地址、协议号、源端口、目的端口 )
- 应用在路由协议-------匹配相应的路由条目
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流 (匹配上我设置的 数据流的)
1.3 ACL 工作原理:
当数据包从接口经过时,由于接口启用了acl, 此时路由 器会对报文进行检查,然后做出相应的处理。
1.4ACL种类:
- 编号2000-2999---基本ACL----依据依据数据包当中的 源IP地址匹配数据(数据时从 哪个IP地址 过来的)
- 编号3000-3999---高级ACL----依据数据包当中源、目 的IP,源、目的端口、协议号匹配数据
- 编号4000-4999---二层ACL,MAC、VLAN-id、 802.1q
2.5ACL(访问控制列表)的应用原则:
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资 源)
2.6匹配规则:
-
一个接口的同一个方向,只能调用一个acl
- 一个acl里面可以有多个rule 规则,按照规则ID从小 到大排序,从上往下依次执行
- 数据包一旦被某rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为 设备)
2.ACL在真实环境的模拟运用
实验一:基础ACL的配置(拒绝某台pc的所有访问,直接ping不通):
第一步:
基础搭建,及其测试:
第二步:
引入基础ACL,拒绝某一台访问设备进行限制
实验二:
高级ACL的配置(拒绝某台pc的访问特定的端口信息,可以ping通,但是获取不了该端口的信息)
第一步:
按照常规配置
第二步:
进行高级ACL配置
结果:
总结:
1.区分出高级ACL和基础ACL的的作用用
2.了解ACL的运用场景