访问控制列表ACL
一、访问控制列表(ACL)
1.1ACL两种作用:
1、用来对数据包做访问控制(丢弃或者放行)
2、结合其他协议,用来匹配范围
通信四元素:源地址、目的地址、源端口、目的端口
通信五元素:源地址、目的地址、源端口、目的端口、HTTP/SSH(应用层协议)
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
1.2 访问控制列表的工作原理
当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
1.2.1 访问控制列表在接口应用的方向
出:已经过路由器处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
1.2.2 访问控制列表的处理过程
1、如果匹配第一条规则, 则不再往下检查,路由器将决定允许该数据包通过或拒绝通过。
2、如果不匹配第一 条规则, 则依次往下检查,直到有任何一条规则匹配, 路由器才决定允许该数据包通过或拒绝通过。
3、如果没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。因此,数据包要么被允许,要么被拒绝。
1.3 ACL种类
基本ACL(2000-2999):只能匹配源IP地址
高级ACL(3000-3999):可以匹配源、目的IP、源端口、目的端口等三层和四层的字段
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。(仅作了解)
1.4 ACL应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被rule匹配,就不再继续向下匹配
e规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
二、例
2.1仅允许PC1访问192.168.2.0 24
2.2 禁止192.168.1.0 24 ping web 服务器
2.3 仅允许Client 1访问web服务器的www服务