ACL访问控制列表
访问控制列表(acl)
读取第三层,第四层包头信息
根据预先定义好的规则对包进行过滤 (防火墙的功能)
访问控制列表利用源地址、目的地址、源端口、目的端口这4个元素定义的规则
访问控制列表在接口应用的方向
出: 已经过路由器的处理,正离开路由器接口的数据包。
入:已到达路由器接口的数据包,即将被被处理。
数据是有去有回的,进去的时候是进口,回来的时候就是出口,出去的时候是出口,回来的时候就是进口。
列表应用到接口的方向与数据方向有关
访问控制列表的处理过程
根据我们预先定义好的规则对包进行过滤
上图可以看出,我们定制规则,最好是,要么放通一些条件,其他全部拒绝,要么拒绝几个条件,其他全部放通。
ACL工作原理
当数据包从接口经过时,由于接口启用acl,此时路由器会对报文进行检查,然后做出相应的处理
ACL两种作用
(1)用来对数据包做访问控制
(2)结合其他协议,用来匹配范围
ACL种类
(1)基本acl(2000-2999):只能匹配源IP地址
(2)高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
(3)二层acl(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则
ACL的应用原则
基本acl,尽量用在靠近目的点
高级acl,尽量用在靠近源的地方(用来保护带宽和其他资源)
ACL的应用规则
(1)一个接口的同一个方向,只能调用一个acl
(2)一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
(3)数据包一旦被某个rule匹配,就不再继续向下匹配
(4)用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL配置
[Huawei]acl number 2000 ###创建acl 2000
[Huawei-acl-basic-2000]rule 5deny source 192.168.1.1 0 ####拒绝源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(可不加)
[Huawei]interface GigabitEthernet 0/0/1 ###进入接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 给接口加IP地址
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ###接口出方向调用ACL 2000,outbound代表出方向,inbound代表进入方向
[Huawei-GigabitEthernet0/0/1]undo sh ###开启接口
[Huawei]acl number 2001 ####进入ACL 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 ####拒绝所有访问,any代表所有0.0.0.0 255.255.255.255或者rule deny
[Huawei]interface GigabitEthernet 0/0/1 ####进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24 ###给接口加IP地址
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 ###接口出方向调用ACL 2001
[Huawei]acl number 3000 ###拒绝tcp为高级控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ####拒绝ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80 ###destination代表目的地址,destination-port代表目的端口号,80可用www代替
