目录
ACL的概述
ACL是由一系列permit或deny语句组成的、有序规则的列表
ACL是一个匹配工具,能够对报文进行匹配和区分
ACL应用
应用在接口的ACL----过滤数据包(原目ip地址,原目mac,端口 五元组)
应用在路由协议----匹配相应的路由条目
NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的数据流的)
ACL工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的)
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
编号4000-4999--二层ACL,MAC、VLAN-id、802.1q
基本acl的书写格式 源ip
acl 2000
#新建表格,将你设置的过滤条件放入这个表格
rule permit I deny source 匹配的条件(ip地址) 通配符掩码(用来控制匹配的范围)
#添加条件
子网掩码的作用:连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码:连续的0代表网络位
00000000.00000000.00000000.11111111
0.0.0.255
利用ip地址+通配符匹配流量
掩码、反掩码----0和1必须连续,通配符掩码----0和1可以不连续
子网掩码 必须是连续的1
反掩码 必须是连续的0
通配符掩码 0和1可以不连续
#通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插
ACL(访问控制列表)的应用原则
基本acl:尽量用在靠近目的点
高级acl:尽量用在靠近源的地方(可以保护带宽和其他资源)
实操
acl 2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0
#默认编号5 拒绝来自192.168.1.1的流量
traffic-filter outbound acl 2000
#数据流向
基本acl
高级acl