ACL 技术概述
ACL 概述
- ACL 是由一系列 permit 或 deny 语句组成的、有序规则的列表
- ACL 是一个匹配工具,能对报文进行匹配和区分
ACL 应用
只是一个匹配工具
匹配 IP 流量
在 Traffic-filter 中被调用
在 NAT 中被调用
在路由策略中被调用
在防火墙策略部署中被调用
在 Qos 中被调用
其它...
ACL 的基本概念及其工作原理
ACL 的组成
说明
ACL 由若干条 permit 或 deny 语句组成
每条语句就是该 ACL 的一条规则
每条语句中的 permit 或 deny 就是与这条规则相对应的处理动作
规则
rule
rule id
越小优先级越高
deny/permit
source
通配符
32 比特长度的数值,用于指示 IP 地址中,哪些比特位需要严格匹配,哪些比特位无需匹配
通常采用类似网络掩码的点分十进制来表示,但是含义却与网络掩码完全不同
ACL 的分类与标识
基于 ACL 规则定义方式的分类
基本 ACL
高级 ACL
二层 ACL
用户自定义 ACK
用户 ACL
基于 ACL 标识方式的分类
数字型 ACL
命名型 ACL
ACL 的匹配顺序及匹配结果
配置顺序(config 模式)
ACL 配置的位置
Inbound
Outbound
ACL 的基础配置及应用
基本 ACL 的基础配置命令
案例:使用基本 ACL 过滤数据流量
Router 已完成 IP 地址和路由的相关配置
在 Router 上创建基本 ACL,禁止 192.168.1.0/24 网段访问路由器网络
由于从接口 GE0/0/1 进入 Router,所以在接口 GE0/0/1 的入方向配置流量过滤
高级 ACL 的基础配置命令
创建高级 ACL
配置基本 ACL 的规则
案例:使用高级 ACL 限制不同网段的用户互访(1)
Router 已完成 IP 地址和路由的相关配置
创建高级 ACL 3001 并配置 ACL 规则,拒绝研发部访问市场部的报文
创建高级 ACL 3002 并配置 ACL 规则,拒绝市场部访问研发部的报文