·ACL是一种包过滤技术
·ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号(5层数据)
基于三层和四层过滤
·ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
·ACL分为两类:
1)标准ACL
2)扩展ACL
标准ACL:
表号:1-99
特点:只能基于源IP对包进行过滤
命令:conf t
access-list 表号 permit/deny 源IP或源网段 反子网掩码
注释:反子网掩码-将正子网掩码0和1倒置
正子网掩码作用:判断地址属于哪个网段
反子网掩码作用:用来匹配条件,与0对应需要严格匹配;与1对应的忽略
简写:access-list 1 deny host 10.1.1.1
access-list 1 deny any
查看ACL表:show ip access-list [表ID]
将ACL应用到接口:
int f0/x
ip access-group 表号 in/out (no,但是表还在)
exit
扩展ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
命令:conf t
acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号]
协议:tcp/udp/ip/icmp
·ACL原理
1)ACL表必须应用到接口的进/出方向才生效
2)一个接口的一个方向只能应用一张表
3)进/出方向应用?取决于流量控制总方向
4)ACL表是严格自上而下检查每一条,注意书写顺序
5)每一条是由条件和动作组成,当某流量完全满足条件,则执行动作;没有满足某条件,则继续检查下一条;
6)标准ACL尽量写在靠近目标的地方
7)
1⃣️做流量控制,首先要判断ACL写的位置(哪个路由器?哪个接口的哪个方向?)
2⃣️再考虑如何写ACL
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
