从下午一觉睡到晚上九点半,我看今晚这兴奋劲是难过去
我叫张慧,我的老师是zhl,这些都是他教我的我很喜欢他很 崇拜他
废话不多说
今天来总结下关于ACL的原理,我希望大家看完我总结的以后都能拨开云雾见明日
小女子涉足通信专业不足两年,理解不到的地方和有误的地方期待指正点拨,共同进步不胜感激
反哺计划现在开始:
1、ACL是什么?
access control list 翻译过来就是:接入控制列表=访问控制列表
这个东西就像人要有原则性一样,什么样的事情我必须要干,什么样的事情我不可以干
人=路由器/交换机,好多不同的人有不通的原则=好多不同的RT/sw有不同的ACL
2、ACL的功能:
数据的过滤/允许、策略路由、特殊数据流的控制……
3、ACL都用在哪里?
防火墙、QOS队列技术、策略路由、数据速率限制、NAT……
4、ACL的分类:
基本ACL:只规定源ip,
(你是哪里人?我只要河南的,你是吗?或者:你是哪里人?河南的人我就不要了)
扩展ACL:可规定五元组:源ip目的ip、源端口目的端口、协议类型
(你是来自河南的吗?你得是才女,而且叫张慧,还得20岁,老师还得是ZHL,否则不要)
2层ACL:源目的mac,源VLANID、2层以太网类型,802.1q优先级
混合acl:我们老师讲了,混合ACL就是混合的
用户自定义ACL:对VLAN tag的个数和偏移字节进行匹配(啊。。。。。)
5、ACL是怎么工作的呢?
路由器不是有多个接口吗,接口等于大门,我家有钱房子大俩大门。ACL就是看大门的老爷爷,我们网络工程师就是这个大房子的主人,我给老爷爷一个名单,我说“这个、这个、还有这个、这些人是天天找我谈投资的,烦,你要是见了他们你就把他们轰走。剩下这个是我老师,你要是见了一定要快快的把他迎进屋里”两个看大门的老爷爷一人一份,他们拿到我的名单以后就开始做事了
我得先把名单制定好,然后吧名单发给看大门的老爷爷手上,RT有多个接口,我是不是要给每一个个大门的老爷爷都发一个呢?往下看……
对路由器来说,从一个地方到另一个地方,路径目的性强且不是固定
现在,我想从家去学校,我的路线是:
小区北门—(假如我要穿过一个动物园)动物园前门—动物园后门—学校北门—进入学校
现在放学,我要回家去,我的路线是:
学校—学校南门—动物园后门—动物园前门—小区南门
我从家去学校,如果我在动物园前门设置一个ACL说名叫张慧的而且是从家出来的姑娘不能过去,那我在动物园后门还用再设置一个吗?
我从 学校回家,动物园后门设置ACL说,名叫ZHL的老师不能过去,我叫张慧又是姑娘,我成功通过动物园后门,在要过动物园前门的时候发现有ACL,说名叫张慧的而且是从家出来的姑娘不能过去,我虽然叫张慧而且是姑娘,但是我不是从家来的啊,我是从学校来的,不匹配这个规定,我有成功过去。但是路由器区别在于,路由器还要我成功到家以后再回学校报告一声我到家了,我又从家出来,再去学校,可是动物园前门的ACL在哪里,我又过不去了,,,,学校老师以为我没到家,(他才不管我是再哪卡着了)于是记我一次大过。。。。回到路由器上就是,,请求超时。。
懂了吗?说正经的,简练点,干脆点
ACL用在入接口上:不行还得举例(用在动物园前门上,我进门就要先匹配ACL然后查路由表,路由表有就发走,路由表没有就丢弃)
ACL用在出接口上:用在动物园的后门上,我进动物园我先看路由表中有没有去往目的地(学校)的路由,没有丢弃,有就发,,把我发到动物园后门上,一看有ACL,匹配吧,匹配成功再看是允许通过呢还是禁止通过呢,一看,呀允许,我就过去了,不允许就又被丢掉了
6、ACL小窍门:
基本acl:用在离目的地最近的那个路由器的out接口(对于一次路径来讲)
扩展ACL:用在离源端的最近的那么路由器的in接口上
为什么要这么配置呢,我们老师讲会节省带宽资源的,动动脑筋想想看,我不想写啦,你们比我聪明
7、ACL配置时候注意:
每个ACL中有好多规则,就像我给老爷爷的名单一样,问题来了:
ACL中的规则条目都是从上往下执行的,如果我的规则1说:姓张的都不可以过去,我的规则2说:允许叫姓张的身份是老师的进来。。。。好伤心,规则1匹配生效以后直接张老师就被丢弃了,,,,,你怎么不早说,,,,
为了不让上述尴尬事情发生,那我就早点说:
在设置ACL规则的时候要遵循:主机-网段-any 这个顺序,any是啥?往下看
老爷爷很尽责,可是找我的人太多了,有好多名单上没有的人也来找我,怎么办呢,,,朴实尽责的老爷爷擅自决定了,除了名单上的这些人,剩下的人,统统都禁止掉,,(这个可有好有坏哦,一定要考虑清楚而且细心的配置,特别是在配置扩展ACL的时候,考虑的就更多一些,因为他的条件比较多一点)
至于ACL的配置命令,我觉得吧,只要原理真的非常透彻的理解透了以后,命令百度一大堆,或者自己实验一下,再补补英文,真的很好记住的
老师开始布置过一套ACL练习题,当时稍微有些晕乎乎,一直没有做出来
除了其他试验中用到ACL外,没有单独专题ACl过,
这么说吧,,我还没有成功完整的做完过一套ACL,,,,,,
这是我的错,因为要学的东西太多了,,,,我又把练习题给忘了,也不好意思给老师要
我就一直拖着没做,,你们是不是觉得被我骗了
那这样吧,我会自己出个题,然后做出来,然后把命令贴上去,然后讲一下,
我们一起做好啦。。。真的有点太晚了呢,我稍稍有些睡意
嘻嘻,老师晚安,老师晚安,老师要做个好梦哦。。。
还有,希望老师的身体能快快好起来,夏天感冒很可怜的,,老师晚安 ~老师真的晚安啦 ~