ACL访问控制列表
ACL
作用:读取三层,四层头部信息,根据与先定义好的规则对流量进行筛选过滤
三层头部信息:源,目ip
四层头部信息:源,目端口号,TCP/UDP协议
访问控制列表调用的方向:
入:流量将要进入本地路由器,将被本地路由器管理
出:已经被本地路由器处理过了,流量将离开本地路由器
所谓的接口的出和入方向和流量走向有关
策略做好后,在入接口和出接口调用的区别:
入接口调用的话,是对本地路由器生效
出接口调用对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效
ACL处理原则
1.路由条目只会被匹配一次
2.路由条目在ACL访问列表中匹配的顺序是从上往下匹配
3.ALC访问控制列表隐含一个拒绝多有
4.ACL访问控制列表至少要放行一条路由条目
ACL类型
1.标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000-2999
调用原则:靠近目标
2.扩展访问控制列表
可以根据源,目IP地址,TCP/UDP协议,源,目端口号进行过滤
相比较标准访问控制列表,流量控制的更加精准
扩展访问控制列表的列表号是3000-3999
调用原则:靠近源
AR路由器上单臂路由命令
[ ]int g0/0/0 //进入接口g0/0/0
[ ]undo shutdown //打开接口
[ ]int g0/0/0.1 //进入子接口g0/0/0.1
[ ]dot1q termination vid 10 //封装格式为802.1q,g0/0/0.1划分进vlan10
[ ]ip add 192.168.10.1 24 //设置ip和子网掩码长度
[ ]arp broadcast enable //开启ARP广播功能
[ ]int g0/0/0.2 //进入子接口g0/0/0.2
[ ]dot1q termination vid 20 //封装格式为802.1q,g0/0/0.2划分进vlan20
[ ]ip add 192.168.20.1 24 //设置ip和子网掩码长度
[ ]arp broadcast enable //开启ARP广播功能
标准访问控制列表
[ ]acl 2000 //创建标准访问控制列表列表号2000
[ ]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段路由条目(子网掩码为反掩码)
[ ]rule permit source any //放行其他路由器条目
(默认ACL每条语句的行号间隔5)
接口调用列表
[ ]int g0/0/0.2
[ ]traffic-filter outbound/inbound acl acl列表号 //选择在出/入接口上调用某个列表
接下来我们实现用标准ACL让vlan10客户机不能访问vlan20客户机
扩展访问控制列表
[ ]acl number 3000 //创建扩展访问列表列表号3000
[ ]rule deny tcp source 192.168.10.10.0 destination 202.10.100.100 0
destination-port eq 21/ftp //禁止PC1访问FTP服务
[ ]rule permit ip //放行其他客户机的网络流量
[ ]int g0/0/0.1
[ ]trafic-filter inbound acl 3000
总结
分清ACL入口出口区别和策略做好后出接口入接口调用的区别,
AR路由器的命令要区别于Router路由器