二、訪問控制列表的處理過程
三、acl華為命令
1.訪問控制列表(acl)
讀取第三層,第四層包頭資訊 根據預先定義好的規則對包進行過濾 (防火牆的功
能)第三層傳輸層 —— 資料段——源埠、目的埠 —————————————————————— 通訊四元組 第四層網路層 —— 資料報——源ip、目的ip
2.訪問控制列表在介面應用的方向
出: 已經過路由器的處理,正離開路由器介面的資料報。 入:已到達路由器介面的
資料報,即將被被處理。
資料是有去又回的,進去的時候是進口,回來的時候就是出口,出去的時候是出
口,回來的時候就是進口。
列表應用到介面的方向與資料方向有關
1.acl工作原理
當資料報從介面經過時,由於介面啟用acl,此時路由器會對報文進行檢查,然後
做出相應的處理
2.acl兩種作用
1.用來對資料報做訪問控制 2.結合其他協議,用來匹配範圍
3.acl種類
2.高階acl(3000-3999):可以匹配源ip、目標ip、源埠、目標埠等三層和四
層的字段。
先級、二層協議類
型等二層資訊制定規則(僅作了解)
4.acl的應用原則
基本acl,盡量用在靠近目的點 高階acl,盡量用在靠近源的地方(用來保護頻寬和
其他資源)
(1)acl的應用規則
1.乙個介面的同乙個方向,只能呼叫乙個acl
2.乙個acl裡面可以有多個rule規則,按照規則id從小到大排序,從上往下依次執行
3.資料報一旦被某個rule匹配,就不再繼續向下匹配
4.用來做資料報訪問控制時,預設隱含放過所有(華為裝置)
1、基本acl配置
[huawei]acl number 2000
###建立acl 2000
[huawei-acl-basic-
2000
]rule 5 deny source 192.168
.1.1
0###拒絕源位址為192.168.10.1的流量,0代表僅此一台,5是這條規則的序號(可不加)
[huawei]
inte***ce
gigabitethernet0/
0/1[ huawei-gigabitethernet0/0/
1]ip address 192.168
.2.254
24[huawei-gigabitethernet0/0/
1]traffic-filter outbound acl 2000
###介面出方向呼叫acl2000, outbound代表出方向,inbound代表進入方向
[huawei -gigabitethernet0/0/
1]undo sh
[huawei]acl number 2001
###進入acl 2000列表
[huawei -acl -basic-
2001
]rule permit source 192.168
.1.0
0.0.0
.255
###permit代表允許,source代表**,掩碼部分為反掩碼
[huawei-acl-basic-
2001
] rule deny source any
###拒絕所有訪問,any代表所有0.0.0.0 255.255.255.255或者rule deny
[huawei]
inte***ce
gigabitethernet0/
0/1##進入出口介面
[huawei -gigabitethernet0/0/
1]ip address 192.168
.2.254
24[huawei -gigabitethernet0/0/
1]traffic-filter outbound acl 2001
[huawei]acl nmuber 3000
#拒絕tcp為高階控制,所以3000起
[ huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
###拒絕ping
[huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80###destination代表目的位址,destination-port代表目的埠號,80可用www代替
[huawei-acl-adv- 3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[huawei-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21###拒絕源位址192.168.10.0網段訪問ftp伺服器12.0.0.2
[huawei-acl-adv-3000]dis this
###檢視當前acl配置是否配置成功
[huawei]inte***ce g0/0/0
[huawei-gigabitethernet0/0/1] ip address 192.168.2.254 24
[huawei-gigabitethernet0/0/0]traffic-filter inbound acl 3000
###在介面入方向應用acl
[huawei -gigabi tethernet0/0/1]undo traffic- filter inbound
###在介面上取消ac1的應用
[huawei] display acl 3000
###顯示acl配置
[huawei] acl nmuber 3000
[huawei -acl-adv-3000]dis this
###檢視規則序號
[huawei-acl-adv- 3000]undo rule
###刪除一條acl語句
[huawei]undo acl number 3000
###刪除整個acl
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
訪問控制列表ACL配置命令
標準訪問控制列表 配置靜態路由條目 r1 config if exit r1 config ip route 192.168.3.0 255.255.255.0 192.168.2.1 r1 config do show ip route c 192.168.1.0 24 is directly c...