什么是ACL?
ACL又叫访问控列表,是应用在路由器接口上的指令列表。
ACL的主要作用:
1.对数据包做一些访问控制,比方丢弃,放行等。
2.ACL可以结合其他协议(传输层:TCP 、UDP通过端对端进行通信)、匹配范围。控制协议的流量是否通过。
配置:ACL在路由器上配置,或者在三层交换机上进行配置。
可以理解为ACL也就是控制用户或进程对计算机系统或网络中资源的访问权限。它可以限制谁可以访问、何时可以访问以及访问所允许的操作类型。
总结:ACL就是访问控制,就是用来确定流量是否可以通过。通过----->放行,不通过------>丢弃。
ACL的概念:
1、ACL可以配置多条策略
2根据报文来进行匹配和区分的
ACL的组成:
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit(允许)或deny(拒绝)就是与这条规则相对应的处理动作。
基本ACL:2000-2999 只能与源ip地址进行匹配。
高级ACL:3000-3999可以匹配源ip、目标ip、源端口号、目标端口号,以及三层和四层的协议字段(三层协议icmp ;四层协议:tcp udp)
4000-4900:根据数据包的源mac地址和目的mac地址,802.lq优先级,二层协议。(-------->用的不多)
步长默认为5,下一跳为10(每新增一条+5)
ACL的匹配原则是?
基本ACL:尽量用在靠近目的地
高级ACL:尽量用在靠近源的地方,主要目的:保护带宽
多条策略的匹配原则:
1.与vlan有相同之处,有则匹配,无则放行。
2.多条中匹配到第一条之后,后续相同的将不再进行匹配。
通配符:
匹配规则:可变1(随机);不可变0(匹配)
举例:172.16.40.0/24 匹配子网当中16 20 24 28
00000000 0
00010000 16
00010100 20
00011000 24
00011100 28
00001100 ====12
反掩码:0.0.0.12
ACL的实验:
拓扑图:
实现第一个目标:仅允许pc1访问192.168.2.0/24网络(即仅允许pc1访问pc3):
Pc1pingPc3:通过
Pc2pingpC3失败--------->成功
客户端pingPc3失败---------->成功
2、禁止192.168.1.0/24网络ping Web服务器
Pc1ping不通------>成功
Pc2ping不通------>成功
客户端ping不通------>成功
3、仅允许Client 访问WEB服务器的www服务
设置服务器:
成功:
