一,ACL功能
访问控制列表------数据流的抓取和匹配
访问控制:ACL+ packet-filter(数据包抓取)
路由控制:ACL+ Route-policy(路由策略)
流量控制:ACL+ QOS(服务质量)
二,ACL组成
组成:由若干条允许或者拒绝的规则组成
rule 1 deny source 192.168.1.0 0.0.0.255 (反掩码/通配符)
规则 ID 的来源:ID范围 <0-4294967294>
手工配置:
自动生成:编号从5开始,是5的倍数,比如 :0,5,10,15,20
255.255.255.192
0.0.0.63
三,ACL分类
1,基本ACL: INTEGER<2000-2999> Basic access-list(add to current using rules)
只关心数据的源地址,容易出现误伤
2,高级ACL :INTEGER<3000-3999> Advanced access-list(add to current using rules)
精确匹配,数据五元组(源IP地址,目标IP地址,协议,目标端口,源端口)
3,二层ACL :INTEGER<4000-4999> Specify a L2 acl group
源MAC地址,目标MAC地址,ARP协议,RARP协议,
4,基于 ipv6 的ACL ACL IPv6
5,命名ACL: name Specify a named ACL
6, number Specify a numbered ACL (没讲)
四,匹配机制
1,数据包到达接口后,会被检查是否设置ACL规则 ,如果设置了,就ACL规则执行,如果没有设置就正常转发
2,按照ACL的编号从上至下逐一匹配,直到有与之匹配的规则出现则结束
3,所有规则都不匹配则执行默认动作,默认允许则允许,默认拒绝则丢弃
练习1:
rule permit source 192.168.1.1 0.0.0.0
rule deny source 192.1618.1.0 0.0.0.255
练习2:
rule deny source 192.1618.1.0 0.0.0.255
rule permit source 192.168.1.1 0.0.0.0
练习3:拒绝所有人去访问192.168.10.1
rule deny ip source any destination 192.168.10.1
练习4:拒绝192.168.1.1 去访问任何人
rule deny ip source 192.168.1.1 destination any
练习5:允许192.168.1.0 去访问任何人
rule permit ip source 192.168.1.0 destinatin any