ACL访问控制列表的作用:
1,访问控制 --- 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 ---
permit(允许),deny(拒绝)。
2,抓取感兴趣流 --- ACL的另一个作用就是和其他服务结合使用。ACL只负责抓取流量,动
作由其他服务来执行。
ACL列表的匹配规则
自上而下,逐一匹配。如果匹配到了,则执行对应的动作,则不再向
下匹配。
思科 --- ACL列表末尾默认包含一条拒绝所有的规则。
华为 --- ACL列表末尾没有包含任何规则。
ACL列表的分类
基础ACL --- 仅关注数据包中的源IP地址 --- "只关注你是谁"
高级ACL --- 不仅关注数据包中的源IP地址,还关注目标IP地址,以及协议和端口号
二层ACL ---用户自定义ACL列表
基础ACL配置的位置原则:因为基础ACL只关注源IP地址,所以,可能会造成误伤,所以,建议
基础ACL配置位置越靠近目标越好。
基础ACL配置:
1,创建ACL列表
INTEGER<2000-2999> Basic access-list(add to current using rules) --- 基础ACL
INTEGER<3000-3999> Advanced access-list(add to current using rules) --- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL
2,在ACL列表中添加规则
r2-acl-basic-2000\]rule deny source 192.168.1.3 0.0.0.0 --- 通配符 --- 0代表不可变,1代表 可变 --- 通配符和反掩码不同,他可以0和1穿插着使用。 \[r2-acl-basic-2000\]rule permit source any --- 允许所有 \[r2\]display acl 2000 --- 查看ACL列表 华为的规则默认以5为步调自动添加序号,目的为了方便插入规则 \[r2-acl-basic-2000\]undo rule 7 --- 删除规则 3,在接口上调用ACL列表 \[r2-GigabitEthernet0/0/1\]traffic-filter outbound acl 2000 切记:一个接口的一个方向上只能调用一张ACL列表 ### 高级ACL列表配置位置原则: 因为高级ACL列表可以进行精准的匹配,所以,位置应该放在尽可能靠近源的地方,可以节约链路资源。 \[r1\]acl name xueqiuer 3000 --- 通过重命名的方法来创建高级ACL列表 \[r1-acl-adv-xueqiuer\]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0 --- 高 级ACL列表规则 \[r1-GigabitEthernet0/0/0\]traffic-filter inbound acl name xueqiuer --- 通过调用名称来调用列表