ACL访问控制列表学习笔记23

ACL
参考：http://www.023wg.com/ACL/153.html

Tips：数据传输过程中，IP地址是永远不会变化的（默认情况下）
数据在传输过程中，mac地址是随时变化的，没经过一个网段，都会变化一次
Access control list（访问控制列表）-
作用：匹配感兴趣的流量（过滤）
实现：
规则（很多）
动作（permit/deny）
事情（把acl放入具体事件里：nat、traffic等）
表示：
ID（数字）:有范围空间
NAME（名字）
类型：思科/华为
标准acl/基本ac：基于原ip地址的过滤规则
ID（华为000-2999）
NAME
扩展acl/高级acl
ID（华为3000-3999）
NAME

今天所学acl是针对三层头部的acl；对三层和四层检测根据规则进行匹配过滤
Acl有个acl匹配列表收到数据包，根据列表从上到下匹配，匹配合适，就不在往下匹配
数据包：
L2头部+L3头部+DATA+FCS
Ip-acl
L3
Source ip +destination ip
基本acl
仅仅关注IP头部中的source-ip
高级acl
可以同时关注source和destination，并且还可以关注ip头部后面的内容（tcp、udp’）
研究流量本身（特点+结构，方向）

Acl步调长度默认5
所放端口位置：基本acl（粗糙）放在距离目标设备近的端口上设置出方向

ACL的配置思路：
0、确保原有数据的连通性(基于现网的需求来定)
1、 查看设备上已经存在的acl
Display acl [2000] |all
2、 创建一个acl
Acl 2000
Rule 5 permit(允许)/deny（拒绝）source IP地址 通配符（0对应的位置是不变的，关心的）*
3、 调用acl
先看在哪个方向来的流量的端口进行流量匹配（过滤）
Interface：端口视图，traffic（流量）-filter（过滤） inbound（入向） acl 2000
4、 验证、测试、保存
Display acl 2000
Display traffic-filter applied-record 查看acl的调用信息
Display traffic-filter statistics interface g0/0/0 inbound查看特定端口上条用的acl的使用信息
5、 删除
a) 先解除调用再删除
b) 当端口上调用一个不存的的acl时，表示的是允许所有
Tips：
同一端口的同一个方向只允许有一个acl；
如果想更改端口上调用的acl，必须先删除原有的acl，再次调用一个新的acl；
端口上的acl不允许直接覆盖
华为中的acl没有匹配的流量，默认是允许的
如果不写source或者destination时则代表所有

Acl里面rule的优先级：
1、 rule后面数字越小优先级越高
2、 故每次创建rule时中间都空格几个数值，便于后期插入新的规则

Tips：acl对设备本身发起的流量是不起作用的
对设备穿越流量，是起作用的

补充：
Cisco: https://blog.51cto.com/9821049/2145818
作业

下图：拓扑图