1.ACL的工作原理:

当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。

1.1 ACL的作用

读取第三层,第四层包头信息。
根据预先定义好的规则对包进行过滤。

1.3 ACL的种类

基本ACL(2000-2999):只能匹配源IP地址
高级ACL(3000-3999):可以匹配源IP,目标IP,源端口,目标端口第三层和第四层的字段和协议
二层ACL(4000-4999):源MAC,目的MAC,802.1q优先级,二层协议类型等二层信息制定规则。

2.ACL的应用规则

  1. 接口的同一个方向,只能调用一个ACL
  2. 一个ACL里面可以有多个RULE规则,按照规则id从小到大排序,从上往下依次执行
  3. 数据包一旦被某RULE匹配,就不再继续向下匹配
  4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)

    2.1 列表在接口应用的方向

    出:已经经过的处理,正离开路由器接口的数据包。
    入:已到达路由器接口的数据包,将被路由器处理。

    2.2 访问控制列表

其中包含通信四元素:

  • 源地址
  • 目的地址
  • 源端口
  • 目的端口

    2.3 访问控制列表的处理过程

    当ACL处理数据包时,一旦数据包与某条ACL语句匹配,则会跳过列表中剩余的其他语句,根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配,那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在,所以在ACL中应该至少包含一条permit语句,否则,默认情况下,ACL将阻止所有流量。

3.ACL的相关操作

ACL9.PNG
ACL实验.PNG

ACL实验2.PNG
ACL实验3.PNG
ACL实验4.PNG

实验8.PNG
112.PNG
990.PNG