ACL 访问控制列表

ACL 访问控制列表

一、产生背景

二、ACL概念 以及如何实现
1. 根据不同的规则
对数据包进行分类
对不同类型报文进行处理
实现对网络行为的控制,限制网络流量。。。

2.匹配和不匹配
	针对某个网段的数据流量进行操作,匹配上了就执行,没有匹配上,就不执行控制列表内的内容
	ACL的对数据执行的动作 :允许/拒绝---》 针对与流量
	
3.ACL的分类
	*基本			2000-2999		基于源IP地址的控制
	*高级			3000-3999		源目IP地址,源目端口号
	二层			4000-4999		基于源目MAC地址,以太网帧类型
	
	
4.ACL如何实现
	1.确定部署位置
		部署在流量的必经之路上
		靠近源部署  
		集中化部署 ---> 尽量少 而精细的部署ACL规则
		
		路由器无法控制来源于自身的数据包
		
	2.匹配对应的流量
                     [R1]acl 2000
                     [R1-acl-basic-2000]rule deny source 192.168.1.12 0.0.0.0
                     [R1-acl-basic-2000]rule permit source any
		考虑对流量的 允许 / 拒绝
		考虑 匹配到的网段/主机的IP地址			 
		 
		 0,表示 ACL在检查数据流量的时候, 0对应的位 要 检查
		 1,对应的位则不关心
		 
	3.决定调用的方向  ----》ACL的掉用 一定在接口上调用的
                      [R1]interfance g0/0/0
                      [R1-G0/0/0]traffic-filter inbound acl 2000
                      [R1-G0/0/0]undo traffic-filter inbound  //在接口删除调用acl信息
		
		in/ out 针对与 流量 进入  出 路由器的 行为
		
		观察流量 流经 接口的方式
		
		inbound 方向上调用,先调用ACL,在进行路由转发(对于未匹配上的流量,或者 拒绝的流量,则不进行路由转发)
		outbound 方向上调用,先路由转发,在调用ACL (如果路由器根据路由表 找到数据的逃出接口,则在逃出接口上进行ACL的匹配)
	
	
	4.测试
            [R1]display acl 2000 
            [R1]undo acl all
            [R1]display traffic-filter applied-record
            [R1-acl-basic-2000]rule 3 deny source 192.168.1.11 0.0.0.0 //插入一条acl
            [R1-acl-basic-2000]undo rule 3  //删除一条acl
            [R1]undo acl 3 2000 //在路由器上删除acl条目
		查看ACL的条目
		查看ACL部署在哪一个接口上,
		查看部署的方向 in out
		
		
5.ACL的匹配规则
	按序匹配   从上到下依次匹配,匹配立即停止(命中即生效)
	黑白名单   白名单模式,只有匹配上的流量才能进行 permit/deny的操作**
	隐式拒绝	   一个ACL启用,在不做任何配置的情况下,默认不允许任何数据通过
			   ACL最后的规则要设置一个 允许所有的流量通过
   
   
 [R1]acl 2000        //匹配对应流量
     [R1-acl-basic-2000]rule deny source 192.168.1.12 0.0.0.0
     [R1-acl-basic-2000]rule permit source any

     [R1]interfance g0/0/0      //决定调用方向
     [R1-G0/0/0]traffic-filter inbound acl 2000
     
     [R1]display acl 2000     //测试查看2000里面的规则
     [R1]display traffic-filter applied-record    //查看接口调用走向

     [R1-G0/0/0]undo traffic-filter inbound  //在接口删除调用acl信息  删删删删删删
     
     [R1]undo acl all   //关闭acl里面的所有规则
      
     [R1-acl-basic-2000]rule 3 deny source 192.168.1.11 0.0.0.0 //插入一条acl  改改改改
 [R1-acl-basic-2000]undo rule 3  //删除一条acl    删删删删删删
     [R1]undo acl 3 2000 //在路由器上删除acl条目       删删删删删删




   //查看ip路由表   dis ip router-table
   实现全网互通,要给路由器配置静态路由
          比如:[R1]ip route-static 192.168.30.1 24 G0/0/2 12.1.1.2
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值