访问控制列表
- 访问控制列表概述
- 访问控制列表(ACL)的两种做用
- 访问控制列表工作原理
- ACL实操
访问控制列表概述
access list (访问控制列表)(ACL)
1.读取第三层,第四层包头信息
根据预定的规则对数据进行过滤
IP报头 | TCP报头 | 数据 |
源地址 | 源端口 | 访问控制列表利用这 |
目的地址 | 目的端口 | 个元素定义的规则 |
访问控制列表在接口应用的方向
入口方向:已经到达路由器接口等待处理的数据闹
出口方向:已经被路由器处理,即将离开路由器接口的数据包
列表的出入口跟数据包的方向有关
访问控制列表的处理方法是从上到下进行匹配,只要匹配就会立即允许通过,不用再匹配下一条。
访问控制列表(ACL)的两种做用
1.用来对数据包做访问控制,主要用于丢弃和放行
2.结合其他协议来匹配范围。
访问控制列表工作原理
当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
ACL的种类 | 匹配 |
基本ACL(2000~2999) | 只能匹配源Ip地址 |
高级ACL(3000~3999) | 可以匹配源Ip,目的Ip,源端口,目的端口等三层,四层的字段和相关的协议。 |
二层ACL(4000~4999) | 根据数据包的源MAK地址,目的MAK地址,802.1q优先级,二层协议类型,二层信息制定规则。 |
访问控制应用原则:
基本ACL:尽量靠近目的点
高级ACL:尽量靠近源的地方。(可以保护宽带和其他资源)
应用规则
1.一个借口在同一个方向上只能调用一个ACL。
2.一个ACL里面可以有多个rule规则按照规则,从小到大排序,从上到下依次进行匹配。
3.数据包一旦被某个rule匹配,立即允许通过,不用再往下进行匹配。
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)。
ACL实操