ACL是管理网络流量的工具
作用:
1.过滤掉某些数据包
2.允许或拒绝某些telnet数据包
ACL的分类:
1.标准访问控制列表
2.扩展的访问控制列表
3.命名的访问控制列表
标准访问控制列表的特点:
1.1-99 1300-1699的列表号
2.只能匹配数据包的源地址
扩展的访问控制列表
1.100-199 2000-2699的列表号
2.可以匹配数据包的源地址,目的地址。还可以匹配ip包头的的协议号,以及传输层端口号。
标准访问控制列表与扩展的访问控制列表使用区别。
如图,在一接口处配置标准访问控制列表使PC1只能访问PC2而过滤发往PC3的路由。则在接口一处配置deny掉来自10.2.2.1(源地址)的路由,那么接口一将会将所有来自10.2.2.1的路由全部过滤。因此,PC1也无法访问PC2.
因此应该在接口2处配置扩展的访问控制列表,过滤掉来自10.2.2.1(源地址)去往10.1.1.3(目的地址)的流量。由此可见这两种访问控制列表的区别。
注:1.标准访问控制列表最好配置在靠进目标网段的出接口出,如果配在R2处,可能会导致来自10.2.2.1网段的流量无法访问R2背后的网段。
2.扩展的访问控制列表最好配置在靠近源地址的地方(也就是图中的2接口处)因为这样可以减轻链路的负担,不用路由后在过滤,白白浪费一段链路带宽。
配置规则:1.配置多个语句,按照输入的顺序进行放置的
2.标准或者扩展,不能单独删去其中的某一行,只能删除整行列表(会将整个列表删除)
3.访问控制列表不能对本地始发的流量生效。(只对穿越的流量生效)
隐含一个语句deny any,有效的访问控制列表,至少有一个permit语句
3.命名的访问控制列表
也分为标准和扩展两种,只是在命名的访问控制列表下,可以对列表中的条目进行单独修改。
网络地址和通配符的列写规则
当通配符为0时,代表所对应位网络地址固定不变
而通配符为1的地方,代表网络地址所对应的位是可变的
列如用通配符匹配10.1.1.1/24-10.1.1.254/24的最后一位为奇数的网络
网络地址前24位10.1.1.1——10.1.1.254都是一样的。
尝试将最后八位写成二进制的样子
.0 ——0000 0000
.1——0000 0001
.2——0000 0010
.3——0000 0011
.4——0000 0100
.5——0000 0101
由此不难发现所有奇数网络最后一位都是1
因此只要写一条
10.1.1.1
0.0.0. 11111110
代表前24位固定,最后一位固定,由此确定了所有的此网段所有后八位为奇数的地址
标准控制列表的配置命令:
access-list 1 permit (deny)+源ip +通配符
int 接口号
ip access-list 1 permit any
ip access-group 1 out/in
扩展的访问控制列表
access-listr 100 permit(deny)+tcp(协议类型)+源ip+通配符+目的ip+通配符+eq+端口号
access-list 100 permit ip any any
刚刚学ACL的一点理解,如有错误还请大佬指出。。。
喜欢的小伙伴点个赞啊。
1121
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
