ACL

ACL技术背景在这里插入图片描述

ACL实现的功能:通过定义规则来允许或拒绝流量的通过
ACL(Access Control List),是一张管理员手动添加的用于数据包访问控制的列表,路由器通过逐项读取列表中的条目来判断当前数据包是 放行还是丢弃。命中即执行,不再读取后面的列表是一个路由器数据处理数据包的行为规范手册。

ACL分类

在这里插入图片描述(1)标准(基本)ACL:参数是源IP地址
(2)拓展(高级)ACL:参数是源IP地址、目的IP地址、源端口、目的端口
(3)特殊(二层)ACL:参数是源MAC地址,目的MAC地址,以太帧协议类型等

ACL的配置

标准ACL配置

一 :配置步骤

(1)确定部署位置

  • 可以部署在被控数据包的必经之路
  • 但部署在靠近源的位置且尽量集中化部署。

(2)匹配对应流量
在这里插入图片描述(3)决定调用方向
在这里插入图片描述实现命令⬇⬇⬇⬇
在这里插入图片描述(4)查看以及测试
在这里插入图片描述在这里插入图片描述

高级ACL

基本ACL只能够针对IP数据包的IP头中的源IP地址进行匹配。例如我们在防火墙上部署ACL,过滤掉来源于192.168.1.0/24这个子网的IP流量,实际上就是过滤掉源IP地址为192.168.1.0/24的子网IP的报文。
基本ACL在我司设备上对应的编号是2000-2999,也就是说我们在创建ACL的时候,如果采用编号的方式来创建,而且使用的编号是2000-2999这个范围内的编号,那么意味着我们将创建一个基本ACL。
高级ACL能够针对数据包的源IP地址、目的IP地址、协议类型、TCP源目的端口或UDP源目的端口等元素进行匹配。因此它的功能相较基础ACL要更丰富一些。高级ACL对应的编号是3000-3999。
除了使用编号的方式创建ACL外,我们还能使用命令的方式来创建一个列表,这样可能更直观更好识别。

高级ACL配置步骤

(1)确定部署位置
(2)匹配对应流量
(3)决定调用方向
(4)查看以及测试

实例一:要求:源IP不能对IP地址访问(无需端口限制)
在这里插入图片描述
实例二:要求:源IP不能对IP地址访问(需端口限制)
在这里插入图片描述
实例三:要求:规定员工在上班时间(周一-周五的8:00-17:00)不能浏览taobao(10.1.1.1)网站
在这里插入图片描述

ACL配置必知点

(1)操作符

在这里插入图片描述

(2)通配符掩码

在这里插入图片描述

通配符掩码详解

(1):IP:220.17.131.50 通配符掩码: 0.15.0.0
IP对应二进制 : 220.0001 0001.131.50
掩码对应二进制: 220.0000 1111.131.50
按照:通配符掩码中,0表示要检查的位,1表示不需要检查的位。
​ ➡➡➡ 220.16-31.131.50

(2):IP:220.14.131.50 通配符掩码:0.15.0.0
​ IP对应二进制 : 220.0000 1110.131.50
掩码对应二进制 : 220.0000 1111.131.50
按照:通配符掩码中,0表示要检查的位,1表示不需要检查的位。
​ ➡➡➡ 220.0-15.131.50

(3)IP:221.10.130.51 通配符掩码:1.1.1.1
IP对应二进制 : 1101 1101.0000 1010.1000 0010.0011 0011
掩码对应二进制: 0000 0001.0000 0001.0000 0001.0000 0001
按照:通配符掩码中,0表示要检查的位,1表示不需要检查的位。
​ ➡➡➡220-221.10-11.130-131.50-51 -->16种IP范围(变化自由组合)

在这里插入图片描述

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值