从下午一觉睡到晚上九点半,我看今晚这兴奋劲是难过去

我叫张慧,我的老师是zhl,这些都是他教我的我很喜欢他很 崇拜他

废话不多说


今天来总结下关于ACL的原理,我希望大家看完我总结的以后都能拨开云雾见明日

小女子涉足通信专业不足两年,理解不到的地方和有误的地方期待指正点拨,共同进步不胜感激

反哺计划现在开始:




1、ACL是什么?

    access control list 翻译过来就是:接入控制列表=访问控制列表

    这个东西就像人要有原则性一样,什么样的事情我必须要干,什么样的事情我不可以干

    人=路由器/交换机,好多不同的人有不通的原则=好多不同的RT/sw有不同的ACL


2、ACL的功能:

    数据的过滤/允许、策略路由、特殊数据流的控制……


3、ACL都用在哪里?

    防火墙、QOS队列技术、策略路由、数据速率限制、NAT……


4、ACL的分类:

    基本ACL:只规定源ip,

            (你是哪里人?我只要河南的,你是吗?或者:你是哪里人?河南的人我就不要了)

    扩展ACL:可规定五元组:源ip目的ip、源端口目的端口、协议类型

            (你是来自河南的吗?你得是才女,而且叫张慧,还得20岁,老师还得是ZHL,否则不要)

    2层ACL:源目的mac,源VLANID、2层以太网类型,802.1q优先级

    混合acl:我们老师讲了,混合ACL就是混合的

    用户自定义ACL:对VLAN tag的个数和偏移字节进行匹配(啊。。。。。)


5、ACL是怎么工作的呢?

    路由器不是有多个接口吗,接口等于大门,我家有钱房子大俩大门。ACL就是看大门的老爷爷,我们网络工程师就是这个大房子的主人,我给老爷爷一个名单,我说“这个、这个、还有这个、这些人是天天找我谈投资的,烦,你要是见了他们你就把他们轰走。剩下这个是我老师,你要是见了一定要快快的把他迎进屋里”两个看大门的老爷爷一人一份,他们拿到我的名单以后就开始做事了

    我得先把名单制定好,然后吧名单发给看大门的老爷爷手上,RT有多个接口,我是不是要给每一个个大门的老爷爷都发一个呢?往下看……


    对路由器来说,从一个地方到另一个地方,路径目的性强且不是固定

    现在,我想从家去学校,我的路线是:

    小区北门—(假如我要穿过一个动物园)动物园前门—动物园后门—学校北门—进入学校

    现在放学,我要回家去,我的路线是:

    学校—学校南门—动物园后门—动物园前门—小区南门

我从家去学校,如果我在动物园前门设置一个ACL说名叫张慧的而且是从家出来的姑娘不能过去,那我在动物园后门还用再设置一个吗?

我从 学校回家,动物园后门设置ACL说,名叫ZHL的老师不能过去,我叫张慧又是姑娘,我成功通过动物园后门,在要过动物园前门的时候发现有ACL,说名叫张慧的而且是从家出来的姑娘不能过去,我虽然叫张慧而且是姑娘,但是我不是从家来的啊,我是从学校来的,不匹配这个规定,我有成功过去。但是路由器区别在于,路由器还要我成功到家以后再回学校报告一声我到家了,我又从家出来,再去学校,可是动物园前门的ACL在哪里,我又过不去了,,,,学校老师以为我没到家,(他才不管我是再哪卡着了)于是记我一次大过。。。。回到路由器上就是,,请求超时。。


    懂了吗?说正经的,简练点,干脆点


    ACL用在入接口上:不行还得举例(用在动物园前门上,我进门就要先匹配ACL然后查路由表,路由表有就发走,路由表没有就丢弃)

    ACL用在出接口上:用在动物园的后门上,我进动物园我先看路由表中有没有去往目的地(学校)的路由,没有丢弃,有就发,,把我发到动物园后门上,一看有ACL,匹配吧,匹配成功再看是允许通过呢还是禁止通过呢,一看,呀允许,我就过去了,不允许就又被丢掉了




6、ACL小窍门:

    基本acl:用在离目的地最近的那个路由器的out接口(对于一次路径来讲)

    扩展ACL:用在离源端的最近的那么路由器的in接口上

为什么要这么配置呢,我们老师讲会节省带宽资源的,动动脑筋想想看,我不想写啦,你们比我聪明


7、ACL配置时候注意:

    每个ACL中有好多规则,就像我给老爷爷的名单一样,问题来了:

    ACL中的规则条目都是从上往下执行的,如果我的规则1说:姓张的都不可以过去,我的规则2说:允许叫姓张的身份是老师的进来。。。。好伤心,规则1匹配生效以后直接张老师就被丢弃了,,,,,你怎么不早说,,,,

    为了不让上述尴尬事情发生,那我就早点说:

    在设置ACL规则的时候要遵循:主机-网段-any   这个顺序,any是啥?往下看


老爷爷很尽责,可是找我的人太多了,有好多名单上没有的人也来找我,怎么办呢,,,朴实尽责的老爷爷擅自决定了,除了名单上的这些人,剩下的人,统统都禁止掉,,(这个可有好有坏哦,一定要考虑清楚而且细心的配置,特别是在配置扩展ACL的时候,考虑的就更多一些,因为他的条件比较多一点)


至于ACL的配置命令,我觉得吧,只要原理真的非常透彻的理解透了以后,命令百度一大堆,或者自己实验一下,再补补英文,真的很好记住的


老师开始布置过一套ACL练习题,当时稍微有些晕乎乎,一直没有做出来

除了其他试验中用到ACL外,没有单独专题ACl过,

这么说吧,,我还没有成功完整的做完过一套ACL,,,,,,

这是我的错,因为要学的东西太多了,,,,我又把练习题给忘了,也不好意思给老师要

我就一直拖着没做,,你们是不是觉得被我骗了


那这样吧,我会自己出个题,然后做出来,然后把命令贴上去,然后讲一下,


我们一起做好啦。。。真的有点太晚了呢,我稍稍有些睡意


嘻嘻,老师晚安,老师晚安,老师要做个好梦哦。。。

还有,希望老师的身体能快快好起来,夏天感冒很可怜的,,老师晚安    ~老师真的晚安啦    ~j_0057.gif