一。ACL: access list 访问控制列表
二。五元组:源IP地址,源端口,目的IP地址,目的端口,和 传输层协议这五个量组成的一个集合
三。ACL应用(两种):
1.应用在接口的ACL——过滤数据包(原目ip地址,原目mac,端口,五元组)
2.应用在路由协议——匹配相应的路由条目
NAT,IPSECVP,VPN,QOS——匹配感兴趣的数据流
四。ACL工作原理:
当数据包从接口经过时,由于接口启用了 acl , 此时路由 器会对报文进行检查,然后做出相应的处理。
五。ACL的种类
1. 编号 2000-2999--- 基本 ACL---- 依据依据数据包当中的 源 IP 地址匹配数据(数据时从 哪个 IP 地址 过来的)
2.编号3000-3999--- 高级 ACL---- 依据数据包当中源、目 的IP ,源、目的端口、协议号匹配数据
3.编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
六。基本ACL的书写格式 源ip
acl 2000
#新建表格, 将你设置的 过滤条件放入 这个表格
rule permit | deny source 匹配的条件(ip地 址) 通配符掩码(用来控制匹配的范围, 比较难)
#添加条件
子网掩码的作用: 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码: 连续的0 代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
通配符掩码
可以0 1穿插
利用ip地址+通配符匹配流量
掩码、反掩码-----0和1必须连续 ,通配符掩码---- -0和1可以不连续
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 0和1可以不连续
#通配符:根据参考ip地址,通配符“1”对应位可 变,“0”对应位不可变,0/1可以穿插
案例1-----拒绝源IP为192.168.10.1的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.0
案例2------拒绝源IP为192.168.10.0/24的所有数 据包
acl 2000
rule deny source 192.168.10.0 0.0.0.255
案例3------拒绝源IP为192.168.10.0/24所有奇数 主机发送的数据包
acl 2000
rule deny source 192.168.10.1 0.0.0.254
七。ACL的匹配规则
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)