在路由器流量流入或者流出的接口上匹配流量,之后执行设定好的动作---permit(允许)deny(拒绝)
1.访问控制:
在路由器流量流入或者流出的接口上匹配流量,之后执行设定好的动作---permit(允许)deny(拒绝)2.抓取感兴趣流
ACL --匹配规则:自上而下逐一匹配,一旦匹配上就不在向下匹配 思科:默认情况下 ACL 列表末尾隐含一条拒绝所有的规则 华为:默认情况下 ACL 列表末尾没有任何规则ACL存在分类
1.基础ACL:仅关注数据包中的源IP地址 2.高级的ACL:不仅关注数据包中源IP地址,还关注目标IP地址,还可以关注,目标的协议和端口号 3.二层ACL。 4.用户自定义的ACL。 (如果使用基础的acl建议配置位置靠近目标)
过程
1.创建ACL列表
2.写规则
[r2-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0 -- 通配符 0.255.0.255---0代表该二进制不能改变,1代表该二进制可以改变,就会匹配所有192.X.1.X的所有流量3.调用ACL列表:
在路由器一个接口的一个方向只能调用一张列表 [r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[r2-acl-basic-2000]rule 2 permit source 192.168.1.0
0.0.0.255--步长,方便添加或者删除规则如果使用高级ACL
建议配置位置靠近源
1.创建ACL列表--可以手工配置列表的名称(备 注)
[r1]acl name toPC3 3000
[r1-acl-adv-toPC3]
2.写策略(规则)
3.调用
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
--也可以写策略的名字
[r1-GigabitEthernet0/0/1]undo traffic-filter inbound
-- 删除接口调用