ACL
基本
1.Access Control List 访问控制列表(网络流量资源的)
2.ACL是一种包过滤技术。
3.ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、[5层数据(看设备能力)]
基于三层和四层过滤
4.ACL在路由器配置,也可以在防火墙上配置(一般叫策略)
5.ACL主要分为2大类:
1)标准ACL
2)扩展ACL
6.标准ACL
表号:1-99
特点:只能基于源IP对包进行过滤
7.扩展ACL
表号:100 - 199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
8.ACL原理
1)ACL表必须应用到接口的进或出方向才生效
2)一个接口的一个方向只能应用一张表
3)进还是出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,所以要注意书写顺序
5)每一个是有条件和动作组成,当流量没有满足某条件,则继续检查下一条;流量条件必须完全满足
6)标准ACL尽量写在靠近目标的位置
7)一些原理:
做流量控制,首先要判断ACL写的位置(哪个路由器?哪个接口的哪个方向)
在考虑怎么写ACL
如何写?
首先判断最终要允许所有还是拒绝所有
然后写的时候要注意:将严格的控制写在前面
7)一般情况下,标准或扩展ACL一旦编写好,无法修改某一条,也无法修改顺序,也无法往中间插入新的条目,只能一直在最后添加新的条目。
如果想修改或插入或删除,只能删除整张表,重新写
conf t
no access-list 表号
9.命名ACL
作用:可以对标准或扩展ACL进行自定义命名
优点:自定义命名更容易辨认,也便于记忆
可以任意修改某一条,或删除某一条,也可以往中间插入一条
命令
路由器上设置的
1.标准ACL
conf t
access-list 表号 permit/deny 源IP或源网段 反子网掩码 //反子网掩码:将正子网掩码0和1导致
access-list 1 host 10.1.1.1
=
access-list 1 10.1.1.1 0.0.0.0
反子网掩码:将正子网掩码0和1导致
255.0.0.0 -- 0.255.255.255
作用:又来匹配,与0对应的需要严格匹配,与1对应的忽略
删除表
conf t
no access-list 表号
查看ACL表
show ip access-list [表ID]
将ACL应用到接口:
int f0/x
ip access-group 表号 in/out
exit
show run
2.扩展ACL
acc 100 permit/deny 协议 源IP或源网段 反子网掩码 协议 目标IP或源网段 反子网掩码 [eq 端口号] //有[]为可选项,可以不写
如果后面写上了端口号,必须在写上所对应的协议 TCP/UDP
3.命名ACL
ip access-list extended(扩展ACL)/standard(标准ACL) 自定义表名
permit/deny 协议 源IP或源网段 反子网掩码 协议 目标IP或源网段 反子网掩码 [eq 端口号]
删除
no 计算机或自己设定的要删除那一句的编号(条目ID)
插入(添加时也可以加入编号)
编号(条目ID)(插入的上下两个编号之间) 正常的添加语句
将扩展或标准ACL临时转换为命名ACL
ip access-list extended(扩展ACL)/standard(标准ACL) 表号
进行删除、插入等动作
小练习
标准ACL
扩展ACL