acl(access control list)----訪問控制列表,在路由器介面上使用的規則列表。
規則:匹配資料報,實現資料報的控制(過濾或放行)–作用
動作:permit允許,deny拒絕。
acl讀取第三層(ip)和第四層(tcp/udp)的頭部資訊——源ip,目標ip,源埠,目標埠,然後根據預先定義好的規則對報文進行過濾。
acl原理:乙個acl可以有多個規則(rule),acl匹配時,按照rule的編號從小到大依次檢查;只要匹配到,就不再繼續向下匹配
在配置 acl 的過程中,不同的規則條目之間的 rule 號碼盡量隔開乙個段空間,這樣的話,便於後期 acl 的管理,比如新增 或者 刪除乙個 rule ,非常方便。
acl的特點:
1)acl對裝置本身發起的流量是不起作用的;
2)acl 與 traffic-filter 結合使用時,最後有乙個隱含的「允許所有」
注:華為acl,最終預設允許。
華為基本acl:acl編號:2000~2999,基於源ip位址做訪問控制,僅僅能匹配資料報的源ip位址,匹配資料報不精確。建議:基本acl呼叫盡量在距離目標裝置近的介面上。
華為基本acl配置:
1.實驗要求:
禁止pc1網路訪問伺服器 server1
允許其他所有訪問流量
2.實驗拓撲圖:
3.實驗配置思路 :
1).配置ar1實現全網互通;
2).ar1配置基本acl
3).在0/0/0/介面上過濾流量
4.實驗步驟及命令:
system-view ----進入使用者檢視
[huawei]sysname r1 ----更改裝置名稱
[r1]inte***ce gigabitethernet 0/0/0 ----進入埠
[r1-gigabitethernet0/0/0]ip address 192.168.100.254 24 ----配置ip和子網掩碼
[r1-gigabitethernet0/0/0]inte***ce gigabitethernet 0/0/1 ----進入埠
[r1-gigabitethernet0/0/1]ip address 192.168.1.254 24 ----配置ip和子網掩碼
[r1-gigabitethernet0/0/1]inte***ce gigabitethernet 0/0/2 ----進入埠
[r1-gigabitethernet0/0/2]ip address 192.168.2.254 24 ----配置ip和子網掩碼
[r1-gigabitethernet0/0/2]quit ----返回上一檢視
[r1]acl 2000 ----建立基本acl
[r1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0(萬用字元) —規則拒絕源位址192.168.1.1
[r1-acl-basic-2000]rule 20 permit source any -----規則允許所有源位址通過
[r1-acl-basic-2000]quit ----返回上一檢視
[r1]inte***ce gigabitethernet 0/0/0 ----進入埠
[r1-gigabitethernet0/0/0]traffic-filter outbound acl 2000 ----在出界面上呼叫acl 2000
[r1-gigabitethernet0/0/0]quit ----返回上一檢視
[r1]display acl 2000 ----檢視acl
5.測試驗證:
ACL原理與配置
個人總結 實驗環境 實驗思路 具體實施 將放置的ar1 ar2和ar3連線。框選路由器後全部開啟。連線線處顯示綠色訊號燈,表示全部開啟 ar1 ar1 int g0 0 0 ar1 gigabitethernet0 0 0 ip add 10.1.1.1 24 ar2 ar2 int g0 0 0 ...
ACL的原理和基本配置
acl access control list 訪問控制列表,作用 在裝置上進行流量的過濾 型別 基本acl 表示 2000 2999 特點 只能匹配資料報的源ip位址 匹配資料報不精確 高階acl 表示 3000 3999 特點 可以同時匹配資料報的源 目標 協議號 源埠 目標埠資訊 匹配資料報精...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...