ACL 参考:http://www.023wg.com/ACL/153.html
Tips:数据传输过程中,IP地址是永远不会变化的(默认情况下) 数据在传输过程中,mac地址是随时变化的,没经过一个网段,都会变化一次 Access control list(访问控制列表)- 作用:匹配感兴趣的流量(过滤) 实现: 规则(很多) 动作(permit/deny) 事情(把acl放入具体事件里:nat、traffic等) 表示: ID(数字):有范围空间 NAME(名字) 类型:思科/华为 标准acl/基本ac:基于原ip地址的过滤规则 ID(华为000-2999) NAME 扩展acl/高级acl ID(华为3000-3999) NAME
今天所学acl是针对三层头部的acl;对三层和四层检测根据规则进行匹配过滤 Acl有个acl匹配列表收到数据包,根据列表从上到下匹配,匹配合适,就不在往下匹配 数据包: L2头部+L3头部+DATA+FCS Ip-acl L3 Source ip +destination ip 基本acl 仅仅关注IP头部中的source-ip 高级acl 可以同时关注source和destination,并且还可以关注ip头部后面的内容(tcp、udp’) 研究流量本身(特点+结构,方向)
Acl步调长度默认5 所放端口位置:基本acl(粗糙)放在距离目标设备近的端口上设置出方向
ACL的配置思路: 0、确保原有数据的连通性(基于现网的需求来定) 1、 查看设备上已经存在的acl Display acl [2000] |all 2、 创建一个acl Acl 2000 Rule 5 permit(允许)/deny(拒绝)source IP地址 通配符(0对应的位置是不变的,关心的)* 3、 调用acl 先看在哪个方向来的流量的端口进行流量匹配(过滤) Interface:端口视图,traffic(流量)-filter(过滤) inbound(入向) acl 2000 4、 验证、测试、保存 Display acl 2000 Display traffic-filter applied-record 查看acl的调用信息 Display traffic-filter statistics interface g0/0/0 inbound查看特定端口上条用的acl的使用信息 5、 删除 a) 先解除调用再删除 b) 当端口上调用一个不存的的acl时,表示的是允许所有 Tips: 同一端口的同一个方向只允许有一个acl; 如果想更改端口上调用的acl,必须先删除原有的acl,再次调用一个新的acl; 端口上的acl不允许直接覆盖 华为中的acl没有匹配的流量,默认是允许的 如果不写source或者destination时则代表所有
Acl里面rule的优先级: 1、 rule后面数字越小优先级越高 2、 故每次创建rule时中间都空格几个数值,便于后期插入新的规则
Tips:acl对设备本身发起的流量是不起作用的 对设备穿越流量,是起作用的
补充:
Cisco: https://blog.51cto.com/9821049/2145818
作业
下图:拓扑图
