目录

ACL--访问控制列表

作用:

三层头部信息:

四层头部信息:

访问控制列表的调用的方向:

访问控制列表的处理原则:

访问控制列表的处理过程

访问控制列表类型:

1.标准访问控制列表

2.扩展访问控制列表

AR路由器上的单臂路由命令:

标准访问控制列表命令

扩展访问控制列表命令

总结

---

ACL--访问控制列表

作用:

读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息:

源、目IP

四层头部信息:

TCP/UDP协议、源、目端口号

访问控制列表的调用的方向:

入:流量将要进入本地路由器，将被本地路由器处理

出:已经被本地路由器处理过了，流量将离开本地路由器

策略做好后，在入接口调用和出接口调用的区别:

入接口调用的话，是对本地路由器生效

出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效。

访问控制列表的处理原则:

1.路由条目只会被匹配一次

2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配

3.ACL访问控制列表隐含一个放行所有

4. ACL访问控制列表至少要放行一条路由条目

访问控制列表的处理过程

访问控制列表类型:

1.标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表的列表号是2000-2999

调用原则:靠近目标

2.扩展访问控制列表

可以根据源、目IP地址，TCP/UDP协议，源、目端口号进行过滤

相比较标准访问控制列表，流量控制的更加精准

扩展访问控制列表的列表号是3000-3999

调用原则:靠近源

AR路由器上的单臂路由命令:

[] int  g0/0/0

undo shut

[] int  g0/0/0. 1

dot1q  termination  vid  10 //封装 方式为802.1q，g0/0/0. 1划分进vlan10

ip  add  192. 168. 10.1  24 //设置IP和掩码长度

arp  broadcast  enable //开启ARP广播功能

[] int  g0/0/0. 2

dot1q  termination  vid 20

ip add 192. 168. 20.1  24

arp  broadcast  enable

标准访问控制列表命令

[]acl  2000 创建标准访问控制列表，列表号为2000

rule  deny  source  192. 168. 10.0  0.0.0.255拒绝192. 168. 10. 0网段(子网掩码为反掩码)

rule  permit  source  any 放行其他路由条目

默认ACL的每条语句的行号间隔5

接口调用列表

int g0/0/0.2

out bound--出接口

inbound --入接口

traffic-filter outbound/ inbound acl 2000 //选择在出/入接口上调用列表2000 I

扩展访问控制列表命令

acl number 3000

rule deny tcp source 192. 168. 10. 10 0 destination 202. 10. 100. 100  0 destination-

port eq 21/ftp //禁止PC1访问FTP服务

rule permit tcp destination- port eq ftp //放行其他客户机访问FTP服务

rule permit ip//放行其他客户机的网络流量

int  g0/0/0. 1

traffic- filter inbond acl 3000

总结

主要学习ACL访问控制列表，需要了解ACL的原理与命令