ACL概述:访问控制列表(Access Control, ACL)S=是应用在路由器接口的指令列表(即规则),用来告诉路由器,哪些数据可以接受,哪些数据包需要拒绝。
基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACL通过在路由器接口处控制是转发还是丢弃数据包来过滤通信流量。路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃数据包。
可以通过在路由器或多层交换机上配置ACL来控制对特定网络资源的访问。
ACL可分为以下两种类型。
1,标准ACL:检查数据包的源地址。其结果基于源网络/子网/主机IP地址,来决定允许还是拒绝转发数据包。它使用1—99之间的数字作为列表号。
2.扩展ACL;对数据包的源地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其他参数。它使用100—199之间的数字作为列表号。
另外还有命名ACL等类型。
ACL概述
访问控制列表ACL(Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具;
ACL除了能够对报文进行匹配,还能够用于匹配路由;
ACL是一个使用非常广泛的基础性工具,能够被各种应用或命令所调用。
ACL的应用
匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
在Traffic-filter中被调用
在NAT中被调用
在路由路由策略中被调用
在IPSec VPN中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他…
如何识别ACL
利用数字标识ACL
利用名称标识ACL
ACL的分类
ACL的匹配顺序
基本ACL
通配符
NAT的主要原理是通过解析 IP报文头部 ,自动替换 报文中的源地址 或 目的地址 ,实现私网用户 通过私网 IP访问公网的目的。私网IP转换为公网IP的过程对用户是透明的。
优点
1.缓解公网地址紧缺 2.解决IP地址空间冲突或重叠的问题 3.网络扩展性更高,本地控制也更容易 4.内网结构及相关操作对外边的不可见 5.增加了安全性
缺点
1.存在转发延迟 2.端到端寻址变得困难 3.某些应用不支持NAT 4.NAT产生的表项需占用设备的内存空间 5.设备性能问题
NAT类型
源IP地址转换(Source lP address-based NAT ) :·
No-Port地址转换(No-PAT )
·网络地址及端口转换(NAPT )
目的IP地址转换(Destination lP address-based NAT ) :
NAT Server
目的NAT
实验一
实验二
设置r1单臂路由为静态路由
R2默认路由
配置acl让vlan10和vlan 20不通
配置ACL让r1不能访问websever
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
