acl作用:
标识感兴趣网络流量
过滤经过路由器的数据包
ACL分类
基本acl 编号2000——2999 源IP
高级acl 编号3000——3999 源IP地址、目的IP地址、报文优先级、协议类型及特性等三、四层信息
二层acl 编号4000——4999 源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息
自定义acl 编号5000——5999
ACL匹配顺序
配置顺序(config模式)默认模式
自动排序(auto模式)
顺序匹配
从上往下,匹配成功后,终止匹配,如果未命中规则,不同模块处理不一样。如果是转发模块,则转发数据包;如果是telnet模块,则不允许;如果是路由过滤,不允许路由通过
acl应用接口
基本ACL尽可能靠近目的
高级ACL尽可能靠近源
配置案列
- 实现全网互通
AR1:
[AR1]interface GigabitEthernet 0/0/0 //进入接口
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //给接口配置IP地址
[AR1-GigabitEthernet0/0/0]int g 0/0/1 //进入接口
[AR1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 //配置ip地址
[AR1-GigabitEthernet0/0/1]q
[AR1]ospf 1 router-id 1.1.1.1 //启动ospf进程1,指定路由id为1.1.1.1
[AR1-ospf-1]area 0 //进入区域0
[AR1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 //宣告网段
[AR1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 //宣告网段
AR2:
[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]ip a 12.1.1.2 24 //给接口配置ip
[AR2-GigabitEthernet0/0/1]int g 0/0/0 //进入接口
[AR2-GigabitEthernet0/0/0]ip a 192.168.2.254 24 //给接口配置ip
[AR2-GigabitEthernet0/0/0]int g 0/0/2 //进入接口
[AR2-GigabitEthernet0/0/2]ip a 23.1.1.1 24 //给接口配置ip
[AR2-GigabitEthernet0/0/2]q
[AR2]ospf 1 router-id 2.2.2.2 //启动ospf进程1,指定路由id为2.2.2.2
[AR2-ospf-1]area 0 //进入区域0
[AR2-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 //宣告网段
[AR2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255 //宣告网段
[AR2-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255 //宣告网段
AR3:
[AR3]int g 0/0/0 //进入接口
[AR3-GigabitEthernet0/0/0]ip a 192.168.3.254 24 //给接口配置ip
[AR3-GigabitEthernet0/0/0]int g 0/0/2 //进入接口
[AR3-GigabitEthernet0/0/2]ip a 23.1.1.2 24 //给接口配置ip
[AR3-GigabitEthernet0/0/2]q
[AR3]ospf 1 router-id 3.3.3.3 //启动ospf进程1,指定路由id为3.3.3.3
[AR3-ospf-1]area 0 //进入区域0
[AR3-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255 //宣告网段
[AR3-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255 //宣告网段
- PC1不可以PING通PC2。要求在AR2的G0/0/1接口入方向应用ACL
AR2:
[AR2]acl 2000 //创建编号为2000的acl
[AR2-acl-basic-2000]rule 5 deny source 192.168.1.1 0.0.0.255 //拒绝源ip为192.168.1.1的地数据包通过
[AR2-acl-basic-2000]q
[AR2]int g 0/0/1 //进入接口
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //在接口视图下应用acl规则
- PC2不可以PING通PC3。要求在AR3的G0/0/2接口出方向应用ACL
[AR3]acl 2000 //创建编号为2000的acl
[AR3-acl-basic-2000]rule 5 deny source 192.168.2.1 0.0.0.255 //拒绝源ip为192.168.2.1的数据包通过
[AR3-acl-basic-2000]q
[AR3]int g 0/0/2 //进入接口
[AR3-GigabitEthernet0/0/2]traffic-filter inbound acl 2000 //在接口视图下应用acl