访问控制列表(ACL)

一、访问控制列表(ACL)

1.1ACL两种作用：

1、用来对数据包做访问控制（丢弃或者放行）

2、结合其他协议，用来匹配范围

通信四元素：源地址、目的地址、源端口、目的端口

通信五元素：源地址、目的地址、源端口、目的端口、HTTP/SSH（应用层协议）

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

1.2 访问控制列表的工作原理

当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。

1.2.1 访问控制列表在接口应用的方向

出：已经过路由器处理，正离开路由器接口的数据包

入：已到达路由器接口的数据包，将被路由器处理

1.2.2 访问控制列表的处理过程

1、如果匹配第一条规则， 则不再往下检查，路由器将决定允许该数据包通过或拒绝通过。

2、如果不匹配第一 条规则， 则依次往下检查，直到有任何一条规则匹配， 路由器才决定允许该数据包通过或拒绝通过。

3、如果没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。因此，数据包要么被允许，要么被拒绝。

1.3 ACL种类

基本ACL（2000-2999）：只能匹配源IP地址

高级ACL（3000-3999）：可以匹配源、目的IP、源端口、目的端口等三层和四层的字段

二层ACL（4000-4999）：根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。（仅作了解）

1.4 ACL应用规则

1、一个接口的同一个方向，只能调用一个ACL

2、一个ACL里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一旦被rule匹配，就不再继续向下匹配

e规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一旦被rule匹配，就不再继续向下匹配

4、用来做数据包访问控制时，默认隐含放过所有（华为设备）

二、例

2.1仅允许PC1访问192.168.2.0 24

2.2 禁止192.168.1.0 24 ping web 服务器

2.3 仅允许Client 1访问web服务器的www服务