ACL讲解

ACL概述:访问控制列表(Access Control, ACL)S=是应用在路由器接口的指令列表(即规则),用来告诉路由器,哪些数据可以接受,哪些数据包需要拒绝。
基本原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACL通过在路由器接口处控制是转发还是丢弃数据包来过滤通信流量。路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃数据包。
可以通过在路由器或多层交换机上配置ACL来控制对特定网络资源的访问。
ACL可分为以下两种类型。
1,标准ACL:检查数据包的源地址。其结果基于源网络/子网/主机IP地址,来决定允许还是拒绝转发数据包。它使用1—99之间的数字作为列表号。
2.扩展ACL;对数据包的源地址与目标地址均进行检查。它也能检查特定的协议、端口号以及其他参数。它使用100—199之间的数字作为列表号。
另外还有命名ACL等类型。

ACL概述
访问控制列表ACL(Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具;
ACL除了能够对报文进行匹配,还能够用于匹配路由;
ACL是一个使用非常广泛的基础性工具,能够被各种应用或命令所调用。

在这里插入图片描述

ACL的应用
匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
在Traffic-filter中被调用
在NAT中被调用
在路由路由策略中被调用
在IPSec VPN中被调用
在防火墙的策略部署中被调用
在QoS中被调用
其他…

如何识别ACL
利用数字标识ACL
利用名称标识ACL
在这里插入图片描述

ACL的分类
在这里插入图片描述
在这里插入图片描述
ACL的匹配顺序
在这里插入图片描述
基本ACL
在这里插入图片描述
在这里插入图片描述 通配符
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
NAT的主要原理是通过解析 IP报文头部 ,自动替换 报文中的源地址 或 目的地址 ,实现私网用户 通过私网 IP访问公网的目的。私网IP转换为公网IP的过程对用户是透明的。
在这里插入图片描述
优点
1.缓解公网地址紧缺 2.解决IP地址空间冲突或重叠的问题 3.网络扩展性更高,本地控制也更容易 4.内网结构及相关操作对外边的不可见 5.增加了安全性
缺点
1.存在转发延迟 2.端到端寻址变得困难 3.某些应用不支持NAT 4.NAT产生的表项需占用设备的内存空间 5.设备性能问题

NAT类型
源IP地址转换(Source lP address-based NAT ) :·
No-Port地址转换(No-PAT )
·网络地址及端口转换(NAPT )
目的IP地址转换(Destination lP address-based NAT ) :
NAT Server
目的NAT

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
实验一
在这里插入图片描述
实验二
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

设置r1单臂路由为静态路由

在这里插入图片描述
在这里插入图片描述
R2默认路由
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
配置acl让vlan10和vlan 20不通
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
配置ACL让r1不能访问websever
在这里插入图片描述

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 1024 设计师:白松林 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值