一、ACL概述
1、ACL(Access Control List。访问控制列表)是用来实现数据包识别功能的
2、ACL可应用于诸多方面
包过滤防火墙功能
NAT(Network Address Translation,网络地址转换)
QoS(Quality of Service,服务质量)的数据分类
路由策略和过滤
按需拨号
1.1、ACL应用场景
ACL可以通过定义规则来允许或拒绝流量的通过
1.2、基于ACL的包过滤技术
对进出的数据包诸葛过滤,丢弃或允许通过
ACL应用于接口上,每个接口的出入双向分别过滤
仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
1.3、入站包过滤工作流程(匹配任一条件,通过)
1.4、出站包过滤工作流程(匹配任一条件,通过)
1.5、通配符掩码
通配符掩码和IP地址结合使用以描述一个地址范围
通配符掩码和子网掩码相似,但含义不同
0表示对应位须比较
1表示对应位不比较
注:反子网掩码0必须是连续的,通配符掩码0可以是不连续的、
192.168.0.1 0.0.2.255(0不连续) 表示192.168.0.0/24和192.168.2.0/24 两个网段
1.6、ACL分类
** 基本ACL:只能匹配源IP地址(只匹配从哪里来)
从1.1.1.1来的数据包不让通过,其他都可以
**高级ACL
高级访问控制列表根据报文的源IP地址、目的IP地址、IP承载的协议类型、协议特性等三四层信息制定规则
二、ACL基本配置
R1:
[R1-GigabitEthernet0/0/0]ip address 1.1.1.1 8
[R1]int LoopBack 0
[R1-LoopBack0]ip address 10.0.0.1 32
[R1-LoopBack1]ip address 20.0.0.1 32
[R1-LoopBack2]ip address 30.0.0.1 32
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 1.0.0.0 0.255.255.255
[R1-ospf-1-area-0.0.0.1]network 10.0.0.0 0.0.0.0
R2:
[R2-GigabitEthernet0/0/0]ip address 1.1.1.2 8
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 1.0.0.0 0.255.255.255
ACL配置:(续上)
R2:
[R2]acl number 2000 创建基本ACL
[R2-acl-basic-2000]rule ?
INTEGER<0-4294967294> ID of ACL rule
deny Specify matched packet deny
permit Specify matched packet permit
[R2-acl-basic-2000]rule deny source 10.0.0.1 0 禁止10.0.0.1 可以不写rule 数字规则从小到大运行 (deny 禁止 permit 允许)书写role时要从小规则到大规则书写,不写rule 数字时插入规则更加方便
[R2-acl-basic-2000]dis th
[V200R003C00]
acl number 2000
rule 5 deny source 10.0.0.1 0 默认书写第一条规则为5,方便插入其他规则
[R2]display acl all 产看全部ACL
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
acl 2000 规则不让进入接口g0/0/0 接口 (traffic-filter 流量过滤)
R2 ping 10.0.0.1 不能通信 其他网络皆可ping通 ACL配置成功
ACL单向ping配置:
R2 可以ping 20.0.0.1 20.0.0.1不能pingR2
[R2]undo acl number 2000 删除之前的acl
[R2-GigabitEthernet0/0/0]undo traffic-filter inbound
[R2-acl-adv-3000]rule deny icmp source 20.0.0.1 0 destination 1.1.1.2 0 icmp-type echo
禁止20.0.0.1 0 发往1.1.1.2 0 的ICMP报文echo请求 (destination 目的)
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 g0/0/0接口不允许acl 3000进入
R2 ping 20.0.0.1 可以ping通
[R1]ping -a 20.0.0.1 1.1.1.2 R1 带源IPpingR2 不能pingtong
其他网络皆可ping通