ALC两种作用:
用来对数据包做访问控制(丢弃或放行)
结合其他协议,用来匹配范围
访问控制列表
读取第三层,第四层包头信息
根据预先定义好的规则对包进行过滤
ACL工作原理:当数据包从接口经过时,由于接口启动了acl,此时路由器会对报文进行检查,然后做出相应处理。
ACL种类:
基本ACL:(2000-2999)只能匹配源IP地址。
高级ACL:(3000-3999)可以匹配IP,目标IP,源端口,目标端口等三层和四层字段与协议
二层ACL:(4000-4999)根据数据包的源MAC地址,目的MAC 802.1Q优先级,二层协议类型等二层信息定制规则。
ACL应用原则
基本ACL 尽量用在靠近目的点
高级acl,尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则
一个接口的同一个方向,只能调用一个ACL
一个acl里面可以有多个RULE规则,按照规则id从小到大排序,从上往下依次执行
数据包一旦被某个rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)
创建命令如下
[Huawei]acl number 2000###创建acl 2000
[Huawei-acl- -basic- 200]rule 5 deny source 192.168.1.10 半拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则
的序号(可不加)
[ Huawei] interface GigabitEthernet 0/0/1
[ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[ Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000#接口出方向调用acl2000,outbound代表出方向,inbound代表进入方向
I Huawei-GigabitEthernet0/0/1]undo sh
I
[ Huawei]acl number 2001###进入acl 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 #permit代表允许,source代表来源,掩码部分为反掩码[Huawei-acl-basic-2001]rule deny source any
###拒绝所有访问,any代表所有0.0.0.0 255.255.255.255
或者rule deny
[Huawei]interface GigabitEthernet 0/0/1 ###进入出口接口[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
[Huawei]acl nmuber 3000
###拒绝tcp为高级控制,所以3000起
[Huawei -acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.10###拒绝Ping[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
私有网络地址和公有网络地址
公有网络地址是在互联网
NAT数据包从内网到外网,转换源IP地址,私网地址转换成公网地址,数据包从外网到内网时,会转换目的IP地址,由公网地址转换私网地址