ACL 访问控制列表
作用:1.访问控制(在路由器流量流入或流出的接口上,匹配流量,执行设定好的动作)permit为允许,deny拒绝
2.抓取感兴趣流(ACL耳机和其他服务结合使用,ACL上只负责匹配流量,其他服务则对匹配上的流量执行对应操作)
ACL匹配的原则:自上而下,逐一匹配,若匹配上则按照对应的动作执行;不再向下匹配,若为思科的体系设备,则在ACL表的末尾隐含一条拒绝所有的规则,若为华为体系的设备则在ACL列表的末尾隐含一条允许所有规则(不作处理)
ACL列表分类(仅为华为体系)
基本ACL 仅关注数据包中源IP地址
高级ACL 关注数据包中源IP地址,目标IP地址,协议与目标端口号
二层ACL
用户自定义ACL
基本ACL的位置原则:因只关注数据包中的源IP地址,故因尽量靠近目标,避免对其他的地址访问误伤
ACL的配置
1.创建一张ACL表
【r2】 acl 2000
2.在ACL表中添加规则
【r2-ACL-basic-2000】rule deny/permit source 192.168.1.3 0.0.0.0(通配符,0与1可穿插使用,0表示不可变,1表示可变)
【r2】 display acl 2000 查看ACL
华为默认以5为步调,自动添加ACL规则序号,目的在于从上向下按顺序匹配方便插入规则
【r2-ACL-basic-2000】 undo