《网络基础之ACL规则》由会员分享,可在线阅读,更多相关《网络基础之ACL规则(5页珍藏版)》请在金锄头文库上搜索。
1、网络基础之ACL规那么访问控制列表(Access Control list, ACL)是路由器和交换机接口 的指令列表,用来控制端口进出的数据包,ACL适用于所有的被 路由协议,如IP、IPX、AppleTak等。简而言之,ACL可以过滤 网络中的流量,是控制访问的一种网络技术手段。访问控制列表的作用.提供网络访问的基本平安手段1 .访问控制列表可用于QOS,对数据流量进行控制.提供对通信流量的控制1、ACL分类按照ACL规那么功能的不同,ACL被划分为基本ACL、高级 ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每 种类型ACL对应的编号范围是不同的。ACL 2000属于基本
2、 ACL, ACL 3998属于高级ACL。高级ACL可以定义比基本ACL 更准确、更丰富、更灵活的规那么,所以高级ACL的功能更加强 大。2000 谢93000 39994000 例9用户目定义ACL可根据报文偏移位贸和偈琢量来定义效那么。5000 5999基本ACL仅使用报文的源IP他址、分片快记和时间段信息来定义娘那么高级ACL既可使用报文的源IP城址,也可使用目的地址、IP优演、ToSx DSCP、协议类型、ICMP类型、TC嗨切(口侣的疆 、 口、UW海第口/目的就口号等来定义短那么。二层ACL可根提报文的以太网领头信息来定义奴那么,如根据源KAC地址、目的咏旭址、以太帧协议类型等。
3、用户ACL既可使用IPv4报文的舞IP她址或源W1 (User Control Liit)组,也可使用目的地址或目的UCL组、IP协议类型、IC 6000MF类型、TCP源揖口省的姻口、UD蝎翻(口眉的瑙口号等来定义规那么.2、ACL 规贝1|每个ACL作为一个规那么组,可以包含多个规那么。规那么通过规那么ID (rule-id)来标识,规那么ID可以由用户进行配置,也可以由系统 自动根据步长生成。一个ACL中所有规那么均按照规那么ID从小到 大排序。规那么ID之间会留下一定的间隔。如果不指定规那么ID时,具体间 隔大小由“ACL的步长”来设定。例如步长设定为5, ACL规那么ID 分配是按照
4、5、10、15来分配的。如果步长值是2,自动生成 的规那么ID从2开始。用户可以根据规那么ID方便地把新规那么插入 到规那么组的某一位置。报文到达设备时,设备从报文中提取信息,并将该信息与ACL中 的规那么进行匹配,只要有一条规那么和报文匹配,就停止查找,称 为命中规那么。查找完所有规那么,如果没有符合条件的规那么,称为 未命中规那么。ACL的规那么分为“permit”(允许)规那么和“deny(拒绝)规贝人综上所述,ACL可以将报文分成三类: 命中“permit”规那么的报文命中“deny”规那么的报文未命中规那么的报文配置规那么.每个接口、每个协议或每个方向上只可以应用一个访问列表。 (因
5、为ACL末尾都隐含拒绝的语句,经过第一个ACL的过滤,不符合的包都被丢弃,也就不会留下任何包和第二个ACL比拟)。1 .除非在ACL末尾有permit any命令,否那么所有和列表条件不符 的包都将丢弃,所以每个ACL至少要有一个运行语句,以免其拒 绝所有流量。2 .要先创立ACL,再将其应用到一个接口上,才会生效。3 .ACL过滤通过路由器的流量,但不过滤该路由器产生的流量。例如华三的路由器高级ACL配置连接下联三层交换机的接口Flysky520int gO/OFlysky520-GigabitEthernet0/0ip address 192.168.1.2 24外网接口地址Flysky5
6、20int gO/1 Flysky520-GigabitEthernet0/1ip address 211.136.10.1 24去往内网网段的路由Flysky520ip route-static 192.168.2.0 24 访问internet的路由NAT酉己置Flysky520acl number 3000Flysky520int g0/1Flysky520-GigabitEthernet0/1nat outbound 3000ACL规定哪些流量可以通过 3、WEB路由如何使用ACL%纤号 / f;/3k/5/jimo-erwctiQi室.SSflIQ swm00XD.23M即步产协议:这条ACL规那么所走的协议的类型动作:允许或阻断;方向:进或转发;进:内网或外网进路由。转发:路由接收到内网或外网数据然后把数据进行转发动作。、源地址:转发与进动作的起始地址。目的地址:转发与进动作的结束地址。考前须知:目的地址可以不填写,表示所有。源端口:允许或阻断的起始端口。目的端口:特定目标的端口。进接口:数据来源口。出接口:目的出口。
