目录
一、ACL定义
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
1.访问控制列表作用
读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选和过滤。
三层头部信息:源、目IP
四层头部信息:TCP/UDP协议,源、目端口号
2.访问控制列表的调用方向
入方向:流量将要进入本地路由器,将要被本地路由器处理
出方向:已经被本地路由器处理过,流量将离开本地路由器
策略做好后,在入接口和出接口调用的区别:
入接口调用的话是对本地路由器生效
出接口调用的话,对本地路由器不生效,流量将在数据发过程中的下一台路由器生效
3.访问控制列表的处理原则
1.路由条目只会被匹配一次
2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目
二、ACL访问控制列表的类型
1.标准访问控制列表
只能基于源IP地址进行过滤
标椎访问控制列表的列表号是:2000——2999
调用原则:靠近目标
2.扩展访问控制列表
可以根据源、目IP地址,TCP/IP协议,源、目端口号进行过滤
相比较标椎访问控制列表,流量控制的更加精确
搦战访问控制列表的列表号是:3000——3999
调用原则:靠近源
三、拓扑实验
1.标准访问列表
如图,要求vlan10不能访问vlan20
二层交换机L2-SW1
查询一下,没有问题
路由器R1
配置标准访问控制列表
测试
实验完成
2.扩展访问控制列表
要求禁止客户机1访问服务器FTP服务
如图,在标准访问控制列表基础上增加一台路由器和一台服务器
R1接着上面配置
R2
R1
服务器配置IP地址和网关地址
测试
实验完成
总结
要注意访问控制列表的调用方向