目录
ACL的访访问访问符掩组成:
创建ACL访问控制列表的两种的方式:
1、数字命名:
2、问控网掩字符串命名方式:
ACL创建步骤:
1、制列种方置A则先创建ACL列表:
进入acl列表:
2、表基步长配置ACL的础创一条条规则:
3、进入需要应用这个访问控制列表的控制控制接口:
修改规则默认步长:(默认步长为5)
子网掩码:
反掩码:
通配符掩码:
ACL的分类与标识:
ACL匹配机制:
ACL的组成:
ACL由若干条permit或deny语句组成,每条语句就是列表列表该ACL的一条规则,每条语句中的式配permit或deny就是与这条规则相对应的处理动作。
permit ----> 允许列表
deny ----> 拒绝列表
创建ACL访问控制列表的规则L规两种的方式:
1、数字命名:
acl number +数字(0~4294967294)
2、修改字符串命名方式:
acl name +字母 +acl类型举例两种acl类型:Basic --- 基础aclAdvanced --- 高级acl
如下图所示字符串命名方式:
ACL创建步骤:
1、默认码反码先创建ACL列表:
acl number 2000 //创建基础访问控制列表的掩码用编号为2000
进入acl列表:
acl +acl列表名字进入acl列表2000acl 2000
2、配置ACL的通配一条条规则:
(用户自定义规则)---(规则编号的范围:0~4294967294)
rule 5 permit source 1.1.1.0 0.0.0.255 //rele 5 规则的编号为5(可以不写,每个规则编号默认隔开5号【默认编号间隔步长为5,区别步长是和作为了后续在旧规则之间,插入新的规则】),编号越小越优先处理rule 10 deny source 2.2.2.0 0.0.0.255 // permit、deny允许通过或拒绝该流量通过rule 15 permit source 3.3.3.0 0.0.0.255 // 匹配项(此处为源IP地址)
3、进入需要应用这个访问控制列表的接口:
traffic-filter inbound acl 2000 //流量过滤使用编号为acl 2000的访问控制列表
注:
1、每个ACl列表末尾隐含的规则----每个ACL列表默认规则,我们看不到的规则
Rule 4294967294 permit any //编号为4294967294的规则,默认允许所有数据通过(也就是没被前面规则拒绝的流量都会被允许通过【华为设备默认通过】【思科设备默认全部拒绝】)
2、越精确的ACl规则越先写,规则号数越前,因为数据匹配到该规则后,就不会继续往下匹配。
修改规则默认步长:(默认步长为5)
#需进入访问控制列表设置
Step 10 //修改acl规则默认步长为10,已存在的规则也会重新以步长为10的间隔排序好。
子网掩码:
配置地址时,配置子网掩码
反掩码:
ospf配置用到反掩码,255.255.255.255 -(减去)子网掩码。0代表匹配,1代表忽略,反掩码0和1是连续的。
通配符掩码:
ACL用到通配符掩码,0代表匹配,1代表忽略,0和1可以不连续。
注:要精确放行某个IP地址就需要全0的通配符掩码。
例:
#全0的通配符掩码用于匹配一个具体的地址。
192.168.1.1 0.0.0.0
#放行某一个网段的话,就用那个位数的通配符掩码
ACL的分类与标识:
创建acl访问控制列表时,使用的数字编号在2000到2999这个范围,则创建的是基本acl。
基本acl只会管理看源IP地址,不会管目标IP地址
acl number 2000 //创建一个基本acl访问控制列表简写:acl 2000退出访问控制列表后,想要回到访问控制列表继续配置规则时,进入方式也是:acl 200进入acl访问控制列表:acl +ACL列表名
创建acl访问控制列表时,使用数字编号在3000到3999这个范围,则创建的基本acl。以此类推。
高级acl会看源IP地址,也会看目标IP地址,可以更精确的确定规则
acl number 3000 //创建一个高级acl,列表名为3000
创建基础访问控制列表:
acl 2000~2999都是基础访问控制列表:
acl number 2000
定义规则:
基本acl只能对数据的源ip地址进行控制,拒绝或允许某网段的数据访问,
rule 100 deny source 1.1.1.0 0.0.0.255 拒绝来自1.1.1.0网段的数据通过该接口
进入接口配置流量过滤器:
进入需要配置流量过滤器的接口
traffic-filter inbound acl 2000 //入站流量控制traffic-filter outbound acl 2000 //出站流量控制
创建高级访问控制列表步骤:
acl 3000~3999都是高级访问控制列表:
acl number 3000
定义规则:
高级访问控制列表可以实现源ip到目标ip的数据访问控制,可以更精确更精准的实现数据访问操控。
rule 21 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 1、定义编号为21号的规则2、允许IP协议数据通过3、允许源IP地址网段为3.3.3.0 目的地址网段是1.1.1.0 的数据通过
进入接口使用该访问控制列表规则 :
流量过滤器使用acl 3000的访问控制列表
traffic-filter inbound acl 3000
实例:
小提示:每个规则编号默认间隔5位整数位
然后就可以实现3.3.3.0网段的pc机能与1.1.1.0网段的pc机通信,与3.3.3.0网段的pc机无法通信。
其余未命中规则的pc机可以相互访问(华为设备)
ACL匹配机制:
1、数据会在接收和发送时检测接口是否存在ACL访问控制列表。不存在控制列表在则直接通行。
2、若有访问控制列表,则查看是否存在访问规则。不存在规则则直接通行。
3、若存在规则,则分析第一条规则。若命中规则,则查看第6条。
4、若未命中规则,则查看是否有下一条规则。若没有下一条规则,则ACL匹配结果为不匹配,华为设备对ACL匹配结果为不匹配的数据默认为允许通行、思科设备则不允许通行。
5、访问下一条规则,若命中规则,ACL动作是permit还是deny。
6、若命中规则为permit,则ACL匹配结果为允许。若命中规则为deny,则ACL匹配结果为拒绝。