我们在HCIA 阶段 还需要掌握三大技术:ACL、VLAN、NAT
这篇文章我们就对ACL进行学习。
ACL —— 访问控制列表
1.访问控制
在路由器流量流入或者流出的接口上,匹配流量,然后执行设定的动作
--- permit (允许) deny (拒绝)
2.抓取感兴趣流
ACL可以和其他的服务进行结合使用。ACL负责匹配对应的流量,而其他的服务对匹配到流量执行相应的动作。
ACL的匹配规则
自上而下,逐一匹配。如果匹配到则按照对应规则执行动作而不再向下匹配。
思科 --- ACL 列表末尾隐含一条拒绝所有的规则
华为 --- ACL 列表末尾没有隐含规则
ACL列表的分类
基础ACL
仅关注数据包中的源IP地址
高级ACL
除了关注数据包中的源IP地址以外,还会关注目标IP地址,以及协议和端口号
二层ACL
用于自定义ACL
需要一 :PC1可以访问3.0网段,但是PC2不行
基础ACL列表配置位置的原则 --- 因为基础ACL列表并不是精确的匹配,仅关注源IP地址,所以,建议配置在靠近目标的地方,防止误伤
1.创建ACL列表
2.ACL列表上写规则
3.在接口上调用规则 --- 切记:一定要在接口上调用规则 否则没有配置成功,只是单纯的写好了规则!!!
需求二:要求PC1可以ping通3.10,但是不能ping通3.20
高级ACL的位置原则 --- 因为高级ACL实现的是精准的匹配,所以。不怕误伤,尽可能在靠近源的位置。
1.以重命名的方式创建ACL列表
2.写高级ACL的规则
3.在接口处调用规则
需求三:要求PC1可以ping通R2,但是不能telnet R2
规则配置与前面两个需求配置是一样的,区别书写规则是ping是要用ICMP 而telnet 要用TCP 并且写明telnet 端口号是23