第二个知识--介绍ACL
知识引入:我们知道,如果对拓扑中的所有路由器都启用了OSPF协议,那么设备之间可以进行,相互通信,但是我怎么只实现单向通信,或者在这个情况下只实现某些设备之间的通信呢?
- 概述
- ACL全称:Access Control List (访问控制列表),是一个匹配工具,如果想要生效的话,需要调用
- 组成:由一系列permit/deny语句组成的有序列表
- 原理/作用:对数据包的五元组进行访问控制
- 数据包五元组:源ip,目的ip,源端口,目的端口,协议
- 规则
- ACL不能对自身发起数据包进行控制访问
- ACL匹配是按照从上到下,从小到大依次进行匹配
- ACL末尾会隐藏一条拒绝所有的语句
- 越明细的条目写在越上面
- 一个接口的一个方向只能用一个ACL
- ACL删除的时候是针对整个列表进行删除
- ACL的分类:编号和命名
- 编号ACL:基本/标准的ACL和高级/扩展的ACL
【1】基本/扩展的ACL
- 应用:只能对数据包的源ip进行匹配
- 表示:1-99/1300-1999
- 使用:推荐靠近目的端,防止和其他设备通讯故障
- 基本配置:
telnet:
Icmp
【2】高级/扩展
- 应用:针对数据包的五元组进行匹配
- 表示:100-199,2000-2699
- 推荐靠近源端,节省资源
- 基本配置
Icmp
Telent
- 实现单向通信
- 命名
【1】基本/标准ACL
- 只能针对数据包的源ip进行匹配
- 标识:standard
- 基本配置
【2】高级/扩展
- 只针对数据包的五元组进行匹配
- 标识:extended
- 基本配置:
- U和.的区别
- u:目标不可达--有路由但是目标无法访问
- .:超时----没有设备回应/没有路由无法发送数据包
举例:
先用ospf技术让拓扑之间的设备能进行通信
实现第一个需求R1和R4不能进行通信
分析:可以使用编号或者命名,也可以使用高级和基本
- 如果是使用编号下的高级
- 编号--基本配置