一、ACL概述
ACL——访问控制列表
作用:作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。
三层头部信息:源、目IP
四层头部信息:TCP/UDP协议,源、目端口号
访问控制列表的调用的方向:
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器
策略做好后,在入接口调用和出接口调用的区别:
入接口调用的话,是对本地路由器生效
出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。
访问控制列表的处理原则:
1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3. ACL访问控制列表隐含一个拒绝所有
4. ACL访问控制列表至少要放行一条路由条目
访问控制列表类型:
- 标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000- 2999
调用原则:靠近目标 - 扩展访问控制列表
可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤
相比较标准访问控制列表,流量控制的更加精准
扩展访问控制列表的列表号是3000-3999
调用原则:靠近源
二、ACL实现
标准访问控制列表
禁止vlan10访问vlan20
拓扑图
L2-SW1
[]vlan bat 10 20
[]int e0/0/1
[]port link-type access
[]port default vlan 10
[]int e0/0/2
[]port link-type access
[]port default vlan 20
[]int e0/0/3
[]port link-type access
[L]port default vlan 10
[]int e0/0/4
[]port link-type access
[]port default vlan 20
[]int g0/0/1
[]port link-type trunk
[]port trunk allow-pass vlan all
R1
[]int g0/0/0
[]undo shutdown
[]int g0/0/0.1
[]ip add 192.168.10.1 24
[]dot1q termination vid 10
[]arp broadcast enable
[]int g0/0/0.2
[]ip add 192.168.20.1 24
[R]dot1q termination vid 20
[]arp broadcast enable
[]q
[]acl 2000
[]rule deny source 192.168.10.0 0.0.0.255
[]rule permit source any
[]q
[]int g0/0/0.2
[]traffic-filter outbound acl 2000
扩展访问控制列表
禁止Client1访问服务器
拓展图
L2-SW1
[]vlan bat 10 20
[]int e0/0/1
[]port link-type access
[]port default vlan 10
[]int e0/0/2
[]port link-type access
[]port default vlan 20
[]int e0/0/3
[]port link-type access
[L]port default vlan 10
[]int e0/0/4
[]port link-type access
[]port default vlan 20
[]int g0/0/1
[]port link-type trunk
[]port trunk allow-pass vlan all
R1
[]int g0/0/0
[]undo shutdown
[]int g0/0/0.1
[]ip add 192.168.10.1 24
[]dot1q termination vid 10
[]arp broadcast enable
[]int g0/0/0.2
[]ip add 192.168.20.1 24
[]dot1q termination vid 20
[]arp broadcast enable
[]q
[]acl 3000
[]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100 0 destination-port eq 21
[]rule permit tcp source any destination any destination-port eq 21
[]rule peermit ip source any destination any
[]q
[]int g0/0/1
[]ip add 12.1.1.1 24
[]traffic-filter inbond acl 3000
[]q
[]ip route-static 0.0.0.0 0 12.1.1.2
R2
[]int g0/0/0
[]ip add 12.1.1.2 24
[]undo shutdown
[]int g0/0/1
[]ip add 202.10.100.2 24
[]undo shutdown
[]q
[]ip route-static 0.0.0.0 0 12.1.1.1
总结
1.访问控制列表的调用的方向:入是流量将被本地路由器处理。出是已经被本地路由器处理过了,流量将离开本地路由器
2.策略做好后,在入接口调用和出接口调用的区别:
入接口调用的话,是对本地路由器生效
出接口调用的话,对数据转发过程中的下一台路由器生效。
3.访问控制列表类型分为标准访问控制列表、扩展访问控制列表等等