ACL(访问控制列表)
读取第三层、第四层包头
信息根据预先定义好的规则对包进行过滤
访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理列表应用到接口的方向与数据方向有关
ACL作用
用来对数据包做访问控制(丢弃或者放行)
结合其他协议,用来匹配范围
ACL工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL种类
基本ACL (2000-2999):只能匹配源ip地址。
高级ACL (3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
二层ACI (4000-4999):根据数据包的源MAc地址、目的Nnc地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL应用原则
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL应用规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)