ALC兩種作用:
用來對數據包做訪問控制(丟棄或放行)
結合其他協議,用來匹配范圍
訪問控制列表
讀取第三層,第四層包頭信息
根據預先定義好的規則對包進行過濾
ACL工作原理:當數據包從接口經過時,由於接口啟動了acl,此時路由器會對報文進行檢查,然后做出相應處理。
ACL種類:
基本ACL:(2000-2999)只能匹配源IP地址。
高級ACL:(3000-3999)可以匹配IP,目標IP,源端口,目標端口等三層和四層字段與協議
二層ACL:(4000-4999)根據數據包的源MAC地址,目的MAC 802.1Q優先級,二層協議類型等二層信息定制規則。
ACL應用原則
基本ACL 盡量用在靠近目的點
高級acl,盡量用在靠近源的地方(可以保護帶寬和其他資源)
應用規則
一個接口的同一個方向,只能調用一個ACL
一個acl里面可以有多個RULE規則,按照規則id從小到大排序,從上往下依次執行
數據包一旦被某個rule匹配,就不再繼續向下匹配
用來做數據包訪問控制時,默認隱含放過所有(華為設備)
創建命令如下
[Huawei]acl number 2000###創建acl 2000
[Huawei-acl- -basic- 200]rule 5 deny source 192.168.1.10 半拒絕源地址為192.168.1.1的流量,0代表僅此一台,5是這條規則
的序號(可不加)
[ Huawei] interface GigabitEthernet 0/0/1
[ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[ Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000#接口出方向調用acl2000,outbound代表出方向,inbound代表進入方向
I Huawei-GigabitEthernet0/0/1]undo sh
I
[ Huawei]acl number 2001###進入acl 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 #permit代表允許,source代表來源,掩碼部分為反掩碼[Huawei-acl-basic-2001]rule deny source any
###拒絕所有訪問,any代表所有0.0.0.0 255.255.255.255
或者rule deny
[Huawei]interface GigabitEthernet 0/0/1 ###進入出口接口[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001
[Huawei]acl nmuber 3000
###拒絕tcp為高級控制,所以3000起
[Huawei -acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.10###拒絕Ping[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
私有網絡地址和公有網絡地址
公有網絡地址是在互聯網
NAT數據包從內網到外網,轉換源IP地址,私網地址轉換成公網地址,數據包從外網到內網時,會轉換目的IP地址,由公網地址轉換私網地址