ACL 概述及工作原理
1、ACL访问控制列表
- ACL的两种作用:
- 用来对数据包做访问控制(丢弃或者放行)
- 结合其他协议,用来匹配范围
- 访问控制列表
- 读取第三层,第四层包头信息
- 根据预先定义好的规则对包进行过滤
- 访问控制列表在接口应用的方向
出: 已经过路由器的处理,正离开路由器接口的数据包。
入:已到达路由器接口的数据包,即将被被处理。
数据是有去又回的,进的是进口,回来的时候就是出口,出的是出口,回来的时候就是进口。
2、访问控制列表的处理过程
可以的操作:我们定制规则,要么放通一些条件,其他全部拒绝,要么拒绝几个条件,其他全部放通。
-
ACL工作原理:当数据包从接口经过时,由于接口启用acl,此时路由器会对报文进行检查,然后做出相应的处理
-
ACL种类:
- 基本acl(2000-2999):只能匹配源IP地址
- 高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
- 二层acl(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则(仅作了解)
- ACL应用原则:
- 基本acl,尽量用在靠近目的点
- 高级acl,尽量用在靠近源的地方(用来保护带宽和其他资源)
- ACL应用规则
-
- 一个接口的同一个方向,只能调用一个acl
- 一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
- 数据包一旦被某个rule匹配,就不再继续向下匹配
- 用来做数据包访问控制时,默认隐含放过所有(华为设备)
不再继续向下匹配
4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)