- 访问控制列表的包含内容
- 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要被拒绝
- 读取第三层和第四层头部种的信息(IP头部与TCP/UDP头部)
- 根据预先定义好的规则对包进行过滤
- 访问控制列表的种类
- 基本访问控制列表(2000-2999)
- 高级访问控制列表(3000-3999)
- 适配二层的访问控制列表(4000-4999)
- 访问控制列表的作用
- 提供网络访问的基本安全手段
- 可配合用于IP sec VPN,匹配感兴趣流量
- 可配合用于QOS,控制数据流量
- 可配置用于分布控制列表,匹配定义流量
- 控制通信量
- 路由器对访问控制列表的处理过程
详解:
1)满足条件允许
2)满足条件拒绝
3)默认“隐含允许”(cisco默认拒绝)
- 访问控制列表的入与出
- 使用命令将ACL应用到某一个接口上
- 在接口的一个方向上,只能应用一个ACL
- ACL是应用在接口上的
详解:应用于入方向
首先匹配规则,然后查找路由表,如果匹配规则,则查询路由表,不匹配则丢弃
详解:首先查询路由表,然后匹配规则。
- 配置实例
基础访问控制列表
[huawei]acl number access-list-id
[huawei-acl-basic-2001]rule sn permit/deny source network wildcard-mask(子网掩码的反码)
实例1:
1)创建访问控制列表
[huawei]acl number 2000
[huawei-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
详解:拒绝192.168.2.0网段的数据访问出去,其他的都可通过
2)将ACL应用于某个接口的入方向上
[huawei]interface gigabitethernet 0/0/0
[huawei-gigabitethernet 0/0/0]traffic-filter inbound acl 2000
注意一个特殊通配符:any=0.0.0.0 255.255.255.255表示任意主机
高级访问控制列表
- 基于源和目的地址、传输层协议和应用端口号进行过滤
- 每个条件都必须匹配,才会施加允许或拒绝条件
- 使用高级ACL可以实现更加精确的流量控制
- 访问控制列表编号从3000至3999
实例2:
第一步:创建访问控制列表
[huawei]acl number 3000
[huawei-acl-adv-3000] rule 5 deny tcp source 192.168.1.20 0.0.0.0 destination 172.16.1.254 0.0.0.0 destination-port eq 80
[huawei-acl-adv-3000]rule 10 deny icmp source 192.168.1.20 0 destination 172.16.1.254 0 //icmp没有端口
第二步:应用访问控制列表
[huawei]int g0/0/0
[huawei-gigabitethernet0/0/0]traffic-filter inbound acl 3000
注意:
- eq:equal等于
- gt:greater than 大于
- lt: less than 小于
- neq:no equal不等于