ACL 访问控制列表

我和1001个粉丝的故事
230 阅读3分钟

ACL 概述及生产背景

ACL :access list 访问控制列表

image.png

ACL 应用

  1. 应用在接口的ACL-----过滤数据包(原目ip地址,原目 mac, 端口 五元组)
  2. 应用在路由协议-------匹配相应的路由条目( )
  3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流(匹配上我设置的 数据流的)

ACL 工作原理:

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

ACL种类

  • 编号2000-2999---基本ACL----依据依据数据包当中的源IP地址匹配数据(数据时从 哪个IP地址 过来的)
  • 编号3000-3999---高级ACL----依据数据包当中源、目的IP,源、目的端口、协议号匹配数据
  • 编号4000-4999---二层ACL,MAC、VLAN-id、802.1q
acl 2000
#新建表格,  将你设置的 过滤条件放入 这个表格


rule permit | deny source 匹配的条件(ip地址) 通配符掩码(用来控制匹配的范围,   比较难)
#添加条件



子网掩码的作用: 连续的1 代表网络位
255.255.255.0
11111111.11111111.11111111.00000000
反掩码: 连续的0  代表网络位
00000000.00000000.00000000.11111111
0.0.0.255

通配符掩码
可以0 1穿插



利用ip地址+通配符匹配流量

掩码、反掩码-----01必须连续 ,通配符掩码-----01可以不连续
子网掩码	必须是连续的1
反掩码		 必须是连续的0
通配符掩码   01可以不连续
#通配符:根据参考ip地址,通配符“1”对应位可变,“0”对应位不可变,0/1可以穿插


rule 5   premit  source 192.168.1.0   0.0.0.255





192.168.1.0
192.168.1.1   
192.168.1.2   
192.168.1.3   
192.168.1.4

1100 0000 .10101000.0000 0001.0000 00 00
1100 0000 .10101000.0000 0001.0000 00 01
1100 0000 .10101000.0000 0001.0000 00 10
1100 0000 .10101000.0000 0001.0000 00 11
1100 0000 .10101000.0000 0001.0000 01 00
0.0.0.0000 0111         

192.168.1.0  
偶数  地址 用来算偶数
0-255  

0.0.0.1111 1111   ---> 0.0.0.255

0.0.0.1111 1110    255-1
0.0.0.254


192.168.1.1 
奇数  用来算
0.0.0.254
0.0.0.1111 111 0


192.168.1.1 0.0.0.0
192.168.1.1 0

192.168.1.1 0.0.0.255

过滤pc访问80端口流量

image.png

######R1设置##########
######配置地址######
int g0/0/0
ip address 192.168.1.254 255.255.255.0 


int  g0/0/1
ip address 192.168.2.254 255.255.255.0 

int   g0/0/2
ip address 192.168.3.254 255.255.255.0

1.建立acl   2调用acl
acl  2000
#基本acl 列表
rule 5 deny source 192.168.1.1 0 
#默认编号5  拒绝  来自192.168.1.1 的流量


int  g0/0/1
traffic-filter outbound acl 2000
#数据流向
在接口下调用acl 分为两个方向
inbound方向--------当接口收到数据包时执行ACL
outbound方向-------当设备从特定接口向外发送数据时执行ACL
-----------------------
没有被acl匹配数据默认采用permit动作
-----------------------
基本acl需要调用在离目的设备最近的接口上



高级  acl
acl number 3000  
 rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port  eq www(80)
 
 [R1]int g0/0/1
undo  traffic-filter outbound 
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

6ACL(访问控制列表)的应用原则:

基本ACL:尽量用在靠近目的点 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

7匹配规则

1、一个接口的同一个方向,只能调用一个acl 2、一个acl里面可以有多个rule 规则,按照规则ID从小到大排序,从上往下依次执行 3、数据包一旦被某rule匹配,就不再继续向下匹配 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)

avatar
文章
阅读
粉丝