定義:由一系列規則組成的集合。裝置可以通過這些規則對資料報進行分類,並對不同型別的報文進行不同的處理。
分類:1、基本acl,編號範圍2000~2999,通過源ip進行匹配;
2、高階acl,編號範圍3000~3999,可以使用報文的源/
目的ip
位址、源
/目的埠號以及協議型別等資訊來匹配報文;
3、高階acl,編號範圍4000~4999,可以使用源/
目的mac
位址以及二層協議型別等二層資訊來匹配報文;
acl規則:由執行permit和拒絕deny這樣的邏輯構成一條條規則,乙個acl可以有多條規則,多條規則的優先順序不同,乙個介面的乙個方向只能呼叫乙個acl;
匹配規則:
1、配置順序,按
acl規則編號(
rule-id)從小到大的順序迚行匹配,預設寫的第一條規則的編號為5,arg3系列路由器預設規則編號的步長是5,故下一跳規則的編號為10;
2、自勱排序,使用「深度優先」的原則進行匹配,即根據規則的精確度排序;
案例解析:下圖的pc、路由表已配置好,pc相互都可以通訊。
例子1:在r2配置基本acl,使得pc1訪問不了172.16.10.0的網路。
acl 2000:進入r2,進入乙個編號2000的acl;
rule deny source 192.168.10.1 0:建立規則,拒接192.168.10.1這這個ip訪問,0是反掩碼,精確匹配,會自動生成序號5;
display this:檢視配置;
undo rule 5:刪除序號為5的規則;
int gi 0/0/0;進入指定埠;
traffic-filter inbound acl 2000:在介面的入方向呼叫acl,出方向是outbound;
undo traffic-filter inbound:最後測試完成後,將介面的acl配置取消;
例子2:在r2上配置高階acl,拒絕pc1、pc2ping通pc4,但是允許其http訪問pc4.
acl 3000:進入編碼3000的高階acl;
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0:自定規則,拒絕ip網路位為192.168.10的icmp協議的資料到172.16.10.0主機上;
int gi 0/0/1;
traffic-filter outbound acl 3000:在介面的出方向呼叫acl3000;
下面使用http請求,可以看到返回狀態碼是200,表示訪問成功。
例子3:拒接pc1telnet訪問pc4.
acl 3000;
rule deny tcp source 192.168.10.1 0 destination 172.16.10.2 0 destination-port eq telnet :拒絕192.168.10.1的telnet訪問172.16.10.2主機;
HCIA學習筆記 常見網路協議
作用 差錯檢測 ping 檢測網路是否連通 icmp echo request 請求訊息 icmp echo reply 響應訊息 原理 通過傳送定量的ttl值的資料報 1 30 來檢測資料報經過的三層裝置 ip 靜態路由協議 手工配置,手工維護,不能實現自動收斂 動態路由協議 宣告直連,通過協議自...
華為HCIA學習筆記 傳輸介質簡介
網路 終端通過物理介質實現跨地域的資源共享 網路三要素 主機 傳輸介質 上網能力 網路型別 lan 區域網 man 都會網路 wan 廣域網 終端 pc 手機 平板 伺服器 粗 10base5,9.5mm,10m,500公尺 細 10base2,5mm,10m,185公尺 應用 有線電視 單模光纖 ...
linux之ACL許可權學習筆記
在linux中我們接觸到的常見的許可權有三種身份 owner,group,others 搭配三種許可權 r,w,x,分別可用數字4 2 1表示 現在描述乙個場景 講授linux的jack老師建立了乙個資料夾 directory,hanson和bill屬於助教組,jack和助教組一起向資料夾direc...