目录
ACL--访问控制列表
作用:
三层头部信息:
四层头部信息:
访问控制列表的调用的方向:
访问控制列表的处理原则:
访问控制列表的处理过程
访问控制列表类型:
1.标准访问控制列表
2.扩展访问控制列表
AR路由器上的单臂路由命令:
标准访问控制列表命令
扩展访问控制列表命令
总结
ACL--访问控制列表
作用:
读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息:
源、目IP
四层头部信息:
TCP/UDP协议、源、目端口号
访问控制列表的调用的方向:
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器
策略做好后,在入接口调用和出接口调用的区别:
入接口调用的话,是对本地路由器生效
出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。
访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个放行所有
4. ACL访问控制列表至少要放行一条路由条目
访问控制列表的处理过程
访问控制列表类型:
1.标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000-2999
调用原则:靠近目标
2.扩展访问控制列表
可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤
相比较标准访问控制列表,流量控制的更加精准
扩展访问控制列表的列表号是3000-3999
调用原则:靠近源
AR路由器上的单臂路由命令:
[] int g0/0/0
undo shut
[] int g0/0/0. 1
dot1q termination vid 10 //封装 方式为802.1q,g0/0/0. 1划分进vlan10
ip add 192. 168. 10.1 24 //设置IP和掩码长度
arp broadcast enable //开启ARP广播功能
[] int g0/0/0. 2
dot1q termination vid 20
ip add 192. 168. 20.1 24
arp broadcast enable
标准访问控制列表命令
[]acl 2000 创建标准访问控制列表,列表号为2000
rule deny source 192. 168. 10.0 0.0.0.255拒绝192. 168. 10. 0网段(子网掩码为反掩码)
rule permit source any 放行其他路由条目
默认ACL的每条语句的行号间隔5
接口调用列表
int g0/0/0.2
out bound--出接口
inbound --入接口
traffic-filter outbound/ inbound acl 2000 //选择在出/入接口上调用列表2000 I
扩展访问控制列表命令
acl number 3000
rule deny tcp source 192. 168. 10. 10 0 destination 202. 10. 100. 100 0 destination-
port eq 21/ftp //禁止PC1访问FTP服务
rule permit tcp destination- port eq ftp //放行其他客户机访问FTP服务
rule permit ip//放行其他客户机的网络流量
int g0/0/0. 1
traffic- filter inbond acl 3000
总结
主要学习ACL访问控制列表,需要了解ACL的原理与命令