ACL访问控制列表
Posted kiroct
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ACL访问控制列表相关的知识,希望对你有一定的参考价值。
定义:
1、读取第三层、第四层的包头信息(网络层与传输层)——读取源ip与目的ip;源端口与目的端口
2、根据预先定义好的规格对包进行过滤
作用:
1、对数据包做访问控制
2、结合其他协议,用来匹配范围
工作原理:当数据包从端口经过时,接口启用了acl,此时路由器对报文进行检查,然后做出相应的处理。
访问控制列表接口应用方向
出:已经经过路由器的处理,正在离开路由器接口的包
入:已经到达路由器接口的包,将被路由器处理
!基本acl:只能匹配源IP地址(序列号2000-2999)
!高级acl:可以匹配源ip、目标ip、源端口、目标端口与相关字段和协议等)(序列号3000-3999)
二层acl“范围4000-4999”:对目标mac、源mac802.1q等二层协议进行规则制定(了解)
ps:本章主要讲述基础acl+高级acl
ACL的应用原则:
基本acl:用在靠近目的地的点
高级acl:尽量用在靠近源的地方(保护带宽与其他资源)
应用规则:
1、一个接口的同一方向,只能调用一个acl
2、一个acl包含多个rule规则,按照rule id从小到大排序,从上往下依次匹配
3、数据包一旦被某一条rule匹配到,不再往下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为环境)
反掩码:
1、如果只是表示一台设备的时候就是 0
2、默认24掩码下。c类网段的反掩码就是0.0.0.255(既c类网段的可用ip数)
2、用该掩码点分十进制表示,255减去每个字段的值就是反掩码
指令:(华为)
备注:在你面对要求时,想好自己的规则建立规划,哪个端口,进还是出,怎么设立规则。再动手
基础acl(2000-2999)
简单设置某个源ip禁止访问
acl 2000;设置ACL编号
rule 5 deny soure 192.168.1.1 0(0为反掩码,表示仅此一台);设置5号规则,拒绝源地址192.168.1.1的流量
int g0/0/1
traffice-filter outbound acl 2000;进入1号端口并在出口端采用acl规则2000
undo shutdown;端口不关闭
简单设置某个源ip允许访问
acl 2001;设置ACL编号
rule permit source 192.168.1.0 0.0.0.255(0.0.0.255为反掩码);设置规则,允许来自源地址192.168.1.1的流量{未设置rule X时,默认从5开始}
rule deny source any 或者 rule deny;拒绝所有流量访问
int g0/0/1
traffic-filter outbound acl 2001;进入1号端口并在出口端采用acl规则2001
高级acl(3000-3999)
拒绝某个协议
acl 3000;设置ACL编号
int g0/0/1
rule deny icmp sourcr 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ;禁止来自192.168.1.0网段的流量对192.168.3.1主机的使用ICMP协议(ping)
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80;允许源ip地址位192.168.1.3的流量使用TCP协议通过80端口访问192.168.3.1的主机
rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80:禁止任何流量通过tcp的80端口访问192.168.3.1主机
rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21;禁止192.168.10.0的网段流量通过TCP协议的21号端口访问12.0.0.2的主机
int g0/0/1
traffic-filter inbound acl 3000;该1号端口的进口端采用acl 3000
undo traffic-filter inbound; 该端口取消acl x号规则
undo rule X;取消规则第几号
undo acl 2000;取消acl 2000
以上是关于ACL访问控制列表的主要内容,如果未能解决你的问题,请参考以下文章