在路由器的各个接口上进行访问的控制—限制流量的进或出
定义感兴趣流量—帮助其他的策略协议来抓取流量
访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动 态—–允许、拒绝
【1】.分类:
标准列表 —- 仅关注数据包中的源ip地址
扩展列表 —- 关注数据包中的源、目标ip地址,协议号、目标端口号
匹配规则:至上而下逐一匹配,上条匹配按上条执行,不再查看下条;末尾隐含拒绝所有;
调用规则:尽早的进行策略,避免流量在网络无谓的传输;千万不能误删掉不限制的流量;
【2】.写法:
编号写法 —-1-99标准列表编号 100-199扩展列表编号 一个编号为一张表
删除一条,整表消失;
命名写法 —-一个名字为一张表 可以使用序号随意的删除或插入
【3】.配置:
标准列表:—仅关注源ip地址,为避免误删,建议调用时尽量的靠近目标;
编号写法:
r2(config)#access-list 1 deny host 192.168.2.2
r2(config)#access-list 1 deny 192.168.1.0 0.0.0.255
r2(config)#access-list 1 permit any
动作 源ip地址
在匹配范围时,使用与OSPF相同的反掩码机制,但ACL不称为反掩码,而被称为通配符;
匹配规则虽然相同,但反掩码必须为连续的0或1;通配符可以1、0穿插;
【4】.接口调用:
r2(config)#interface fastEthernet 0/0
r2(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
r2(config-if)#ip access-group 1 out
命名写法:
r2(config)#ip access-list standard xxx
r2(config-std-nacl)#deny host 192.168.2.2
r2(config-std-nacl)#permit any
r2(config-std-nacl)#exit
r2(config)#interface f0/0
r2(config-if)#ip access-group xxx out
r2(config)# ip access-list standard xxx
r2(config-std-nacl)#15 deny host 192.168.2.3
r2(config-std-nacl)#no 15
【5】.扩展配置 因为扩展ACL关注数据包中的源、目标ip,协议号、目标端口号
故在调用时,尽量靠近源,但不能在源上;ACL不能限制本地的流量;
仅关注源和目标ip地址;
编号:
r1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2
动作 源ip 目标ip
注:源ip地址或目标ip地址;均可为
Host+ip=主机
192.168.1.0 0.0.0.255 通配符
Any 所有
r1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2
拒绝 192.168.1.2 到 192.168.2.2
r1(config)#access-list 100 permit ip any any
r1(config)#interface fastEthernet 0/0.1
r1(config-subif)#ip access-group 100 in
【6】交换vlan access-group
可以实现在vlan内的过滤MAC数据(二层)和IP数据(三层)
Mac access-list extended name
Permit/deny H.H.H/any/host
调用:
Vlan access-map name 1
Action drop/forward
Match mac/Ip address ACL