ACL工作原理
当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
ACL两种应用:应用在接口的ACL-----过滤数据包(原目ip地址,原mac, 端口 五元组) 应用在路由协议-------匹配相应的路由条目
ACL种类
-
编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
-
编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
-
编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
ACL过滤实验
代码预知
acl 2000
新建表格,将你设置的过滤条件放入这个表格
rule permit | deny source
匹配的条件(ip地址) 通配符掩码(用来控制匹配的范围, 比较难)
实验拓扑图
拒绝来自192.168.1.10的流量
实验详解
- 配置Client1,2 ,server1,2 .如下
- 进入接口,加入网关
- 建立acl 调用acl
- 设置数据流向
traffic-filter outbound acl 2000
- c1 ping s1 s2
ping c1是不通的
匹配规则
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
