一.ACL前言介绍
我们对vlan的划分只是单纯的划分了广播域,并没有进行流量控制,并且三层交换机或者单臂路由,我们还可以实现不同vlan之间的划分。
ACL:访问控制列表
1.用来对数据包做访问控制(丢弃,放行)
2.结合其他协议,匹配范围----传输层
小结:acl即访问控制,确定流量是否可以通过,通过=放行;不通过=丢弃
主要设备:路由器(三层交换机也可以)
二.ACL概述
1.ACL是由一系列permit或deny语句组成的、有序规则的列表。
2.ACL是一个匹配工具,能够对报文进行匹配和区分。
也可以理解为:
1)ACL可以配置多条策略
2)根据报文匹配区分
ACL命令:
2000-2999:基本ACL。只能匹配源ip地址。
3000-3999:高级ACL。可以匹配源ip,目的ip,源端口,目标端口,三层和四层的协议字段。
(三层-icmp;四层-tcp、udp)
4000-4999:根据数据包的源mac地址、目的mac地址、802.lq优先级和二层协议。
补充:
基本ACL:尽量用在靠近目的地
高级ACL:尽量用在靠近源的地方,保护宽带
多条策略的匹配原则:
- 有则匹配,无则放通
- 匹配到第一条之后,后续相同的将不在匹配
三.ACL匹配机制
注:一旦命中即停止匹配
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了 所有规则 都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
四.匹配顺序与结果
1.匹配顺序(config模式)
系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
注:“允许”是指允许数据包通过,不是指允许流量通过。
2.匹配位置
五.ACL实验
1.拓扑图