一.ACL概述
1.名词解释
2.作用
- 读取第三层,第四层头部信息
- 根据预先定义好的规则对流量进行筛选过滤
- 第三层对应IP报头,即源,目IP地址
- 第四层对应TCP/UDP报头,即源,目端口,TCP/UDP协议
3.调用的方向
- 入:流量将要进入本地路由器,将被本地路由器处理
- 出:已经被本地路由器处理过了,流量将离开本地路由器
- PS:所谓的接口的出和入都与流量的走向有关
- 入接口调用对本地路由器生效
出接口调用对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效
4.处理过程
- 路由条目只会被匹配一次
- 路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
- ACL访问控制列表隐含一个拒绝所有
- ACL访问控制列表至少要放行一条路由条目
类型
二.ACL配置命令
AR路由器上的单臂路由命令:
[ ]int g0/0/0 //进入接口g0/0/0
undo shut //手动开启接口g0/0/0
int g0/0/0.1 //进入子接口g0/0/0.1
dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进VLAN10
ip add 192.168.10.1 24 //配置IP地址为192.168.10.1 子网掩码长度24
arp broadcast enable //开启arp广播
[ ]int g0/0/0.2 //进入子接口g0/0/0.2
dot t v 20 //封装方式为802.1q,接口g0/0/0.2划分进VLAN20
ip add 192.168.20.1 24//配置IP地址192.168.20.1 子网掩码长度24
arp bro en //开启arp广播
标准访问控制列表:
[ ]acl 2000
rule deny source 192.168.10.0 0.0.0.255
rule permit source any
int g0/0/0.2
traffic-filter outbound acl 2000
扩展访问控制列表:
[ ]acl 3000
rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21
rule permit tcp destination-port eq 21
rule permit ip source any destination any
int g0/0/0.1
traffic-filter inbound acl 3000
|