ACL的原理及配置
ACL的概述
ACL(access list):访问控制列表
- ACL是由一系列permit和deny语句组成的、有序规则的列表
- ACL是一个匹配工具,能够对报文进行匹配和区分
ACL的应用
- 应用在接口的ACL-----过滤数据包(五元组:源、目的IP,源、目的端口、协议号)
- 应用在路由协议-------匹配相应的路由条目
- NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上设置的数据流)
工作原理:当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。
ACL匹配机制:一旦命中即停止匹配
ACL种类
- 编号2000-2999(基本ACL)依据依据数据包当中的源IP地址匹配数据(数据时从哪个IP地址过来的)
- 编号3000-3999(高级ACL)依据数据包当中源、目的IP,源、目的端口、协议号匹配数据(五元组)
- 编号4000-4999(二层ACL)MAC、VLAN-id、802.1q
通配符掩码
- 子网掩码:必须是连续的1
- 反掩码:必须是连续的0
- 通配符掩码:0和1可以不连续
掩码、反掩码:0和1必须连续;通配符掩码:0和1可以不连续
通配符掩码:通配符“1”的对应位可变,“0”对应位不可变,0和1可以穿插。
实际操作
基础配置
过程:
192.168.1.1不能访问192.168.2.1
在路由器三个端口配置IP地址。
Client1 ping服务器1能通。
开始ACL的配置。
- inbound方向--------当接口收到数据包时执行ACL
- outbound方向-------当设备从特定接口向外发送数据时执行ACL
结果:Client1 ping服务器1不能通。
高级配置
过程:
起初Client1能够访问服务器1的80端口。
创建acl3000表进行配置。
应用acl3000配置。
结果:
总结
- 子网掩码:必须是连续的1
- 反掩码:必须是连续的0
- 通配符掩码:0和1可以不连续
掩码、反掩码:0和1必须连续;通配符掩码:0和1可以不连续 通配符掩码:通配符“1”的对应位可变,“0”对应位不可变,0和1可以穿插。
| 命令 | 作用 |
|---|---|
| acl 2000 | 创建一个表用于存放设置过的过滤1条件 |
| rule 5 deny/permit source 192.168.1.1 0 | 默认编号5,拒绝、允许来自192.168.1.1的访问 |
| traffic-filter outbound acl 2000 | 应用设置的acl表 |
| rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq/lt/pt/range www | 拒绝192.168.1.1访问到192.168.2.1的80端口(eq:等于;lt:小于;pt:大于;range:两数之间) |
