前言:本章介绍ACL原理以及基础ACL,高级ACL配置
ACL原理:
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。
访问控制列表(ACL)的工作原理
ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACl是一组规则的集合,它应用在路由器的某个接口上。对路由器接口而言,访问控制列表有两个方向。
出:已经过路由器的处理,正离开路由器的数据包。
入:已到达路由器接口的数据包。将被路由器处理。
如果对路由器的某接口应用了ACL,那么路由器对数据包应用该组规则进行顺序匹配,使用匹配即停止的,不匹配则使用默认规则的方式来过滤数据包。
ACL的种类:
基本ACL(2000-2999):只能匹配源ip地址
高级ACL(3000-3999):可以匹配ip,目标ip,源端口,目标端口,等三层和四层的字段和协议。
ACL的应用原则:
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule规则,按照规则Id从小到大排序,从上往下以此执行
3.数据包的一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL的配置实例
网络拓扑如下
