目录
2)192.168.1.0/24使用通配符,匹配该网段所有小于32的IP地址
3)192.168.1.0/22使用通配符,匹配该网段所有的奇数网段
一、ACL(访问控制列表)技术背景
ACL可以对报文进行精确的匹配识别,仅仅匹配IP流量
二、ACL(访问控制列表)
1.ACL概述
2.ACL的组成
3. 规则编号
ACL逐条匹配,匹配之后,不会继续看下面的规则
所以为了方便以后的添加,ACL的编号缺省步长为5
4.通配符
子网掩码和反掩码是掩码,是连续的0或1;
通配符,ACL所使用,不是掩码,0和1可以不连续,0标识匹配,1表示不匹配
与0相对应的比特位要一致才能匹配上
例如:
1)与0相对应的比特位要一致才能匹配上
rule 5 permit source 192.168.1.0 0.0.0.255 这是来了一条192.168.3.0,能不能匹配上?
192.168.1.0的二进制【1100 0000.1010 1000.0000 0001.00000000】
通配符0.0.0.255 为 【0000 0000.0000 0000.0000 0000.1111 1111】也就是说,只有和1100 0000.1010 1000.0000 0001一样的路由才能匹配
192.168.3.0的二进制【1100 0000.1010 1000.0000 0011.00000000】但是这一位不一样,就无法匹配
2)匹配奇数或偶数的网段
主要看网段最后一位的bit位是否为1,奇数+偶数=奇数,所以最后一位为1则为奇数网段;
1.若网段为10.1.1.0/24,最后一位为1
那么通配符的最后一bit就要为0,精确匹配上1,就能确保匹配的都是奇数网段;
通配符:0.0.254.255
2.否则,例如网段10.1.0.0/24,最后一位为0
通配符最后一bit位为0,确保网段最后一bit不为1,就是偶数网段了;
通配符:0.0.254.255
3)精确匹配 0.0.0.0 (精确匹配某一个IP地址)
匹配所有 255.255.255.255(匹配任意地址)
5.ACL的分类与标识
1)基于ACL规则定义
基本ACL 2000-2999
高级ACL 3000-3999
二层ACL 4000-4999
用户自定义ACL 5000-5999
用户ACL 6000-6999
常用的ACL就是:基本ACL、高级ACL
2)基于ACL标识
数字型ACL
命名型ACL
1) 默认命名型ACL,是高级ACL(3999),在高级ACL (3000-3999)这个范围中
2)命名时也可以,规定成基本ACL
课后习题(通配符)
1)10.1.0.0/17使用通配符,匹配该网段所有的地址
0.0.127.255
2)192.168.1.0/24使用通配符,匹配该网段所有小于32的IP地址
0.0.0.31
3)192.168.1.0/22使用通配符,匹配该网段所有的奇数网段
0.0.254.255