简单认识一下ACL

时间  2021-04-30 标签 ACL 路由器 网络

本章目录

一、概念

1、ACL

ACL(Access Control Lists,缩写ACL),是存取控制列表。它读取第三层和第四层的包头信息(这里就引出了通信四元素:原地址,目标地址,源端口。目标端口),根据预先设置的规则对包进行过滤。

2、ACL在接口上的应用

在入口上:数据包从入口进路由器,就会被路由器处理
在出口上:数据包在经过路由器处理后,才会让它从出口出去
在这里插入图片描述

3、ACL的工作原理

ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理
其实就是从上往下一条一条的匹配,直到最后,丢弃或者发送出去。
在这里插入图片描述

4、ACL的作用

1)用来对数据包做访间控制(丢弃或者放行)
2)结合其他协议,用来匹配范围

5、ACL种类

基本ACL(2000-2999):只能匹配源IP地址。
高级ACL(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1Q优先级、二层协议类型等二层信息制定规解即可),但是因为二层ACL使用MAC地址匹配,但更换主机后,规则需要重新设置,对于经常更换主机的比较麻烦,所以很少使用。
常用的是基本ACL和高级ACL。

6、ACL的应用原则和规则

ACL的应用原则:
基本ACL。尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)

应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

二、配置实验

需求:10.0网段中仅PC1可访问PC4; 禁止10.0网段的ping Server ,允许clienr1访问Server1的www服务
在这里插入图片描述
配置各个主机和服务器的信息
R1
先将个接口IP地址配上,实现全网互通
在这里插入图片描述
下面开始ACL的实验:
第一个:10.0网段中仅PC1可访问PC4
这里需要在出接口上调用ACL
[R1]acl number 2000
创建acl列表2000
[R1-acl-basic-2000]rule permit source 10.0.10.1 0
允许PC1的IP通过,这里最后的0是反掩码,原本是255.255.255.255 ,反掩码为0.0.0.0
[R1-acl-basic-2000]rule deny source any
拒绝其他所有的访问
[R1-acl-basic-2000]q
在这里插入图片描述
[R1]int g0/0/2
进入出接口
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
调用出接口的acl列表,outbound出方向,inbound进入方向
[R1-GigabitEthernet0/0/2]q
在这里插入图片描述
第二个: 禁止10.0网段的ping Server,允许clienr1访问Server1的www服务
[R1]acl number 3000
这里禁止ping和访问服务器,需要创建高级ACL
[R1-acl-adv-3000]rule deny icmp source 10.0.10.0 0.0.0.255 destination 10.0.30.1 0
禁止网段10.0 ping 30.1
[R1-acl-adv-3000]rule permit tcp source 10.0.10.3 0 destination 10.0.30.1 0 destination-port eq www
允许client访问server的www服务,www对应的接口是80
[R1-acl-adv-3000]rule deny tcp source any destination 10.0.30.1 0 destination-port eq www
[R1-acl-adv-3000]rule deny tcp source 10.0.10.0 0.0.0.255 destination 10.0.30.1 destination-port eq 21
拒绝10.0网段的一切网络访问到30.1服务器
[R1-acl-adv-3000]q
在这里插入图片描述

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/1]q

在这里插入图片描述
实验到此结束

[R1]acl number 2001
[R1-acl-basic-2001]rule 5 deny source 10.0.10.1 0
其中的5是规则序号,可以不加(默认是5的倍数,第一次是5,第二次为10,以此类推),方便以后添加规则
在这里插入图片描述
[R1-acl-basic-2001]dis this
查看当前acl配置,检查是否配置成功
在这里插入图片描述
[R1-acl-basic-2001]undo rule 5
删除规则
在这里插入图片描述
[R1]undo acl number 2001
删除整个ACL
在这里插入图片描述

联系我们 沪ICP备13005482号-10