ARP协议与ACL访问控制列表

ARP—地址解析协议（二层、三层之间，大多数位于三层）

• 将已知的IP地址解析为MAC地址。把对方的MAC地址获取过来后，封装到自己的目的MAC地址，然后进行数据传输
• 不能穿越路由器，不能被转发到其他广播域

同一个网段下：
ARP请求方式：广播请求
回应方式：单波回应

查看ARP表：
交换机：dis|ARP
PC：ARP -a

不同广播域内获取MAC地址：

ARP请求并不是请求目的IP的MAC地址，而是请求下一跳的MAC地址，IP地址不变，源MAC地址和目的MAC地址随着下一跳改变

ACL

• Access Contorl Lists—访问控制列表;
• 定义：路由器，三层交换机接口的指令列表，用来控制端口的进出的数据包，对数据流进行过滤；
• 功能：流量控制，匹配感兴趣的流量;
• ACL包含了匹配关系，条件和查询语句。表只是一个框架结构，在表中会放很多控制语句；
• 分类：
  根据使用的列表的列表号，按照表号的不同，将他分为两类：
  1.编号范围：2000-2999，基本（标准）ACL，基于源IP地址进行过滤；
  2.编号范围：3000-3999，高级（扩展）ACL，基于源ip和目的ip，源端口（TCP/UDP）和目的端口，协议类型来进行过滤的；

ACL的配置方式：

• 基于每种协议配置一个ACL（数据通过什么方式过来的TCP/UDP/ICMP/HTTP）
• 基于每个方向配置ACL（区分数据进和出）
• 基于每个接口设置ACL

ACL的工作原理：

• 入站配置ACL对来的数据分组，通过ACL分组进行处理，然后放到出口
• 出战配置ACL

通常情况下都是将ACL配置放到入站解决

配置基本ACL：
反码：255.255.255.0=0.0.0.0.255

ACL 2000—进入建立基本ACL，表号为2000
rule（规则） deny（拒绝） source 源IP 0（反码）—配置规则，拒绝这个ip
系统：interface 接口号—进入接口
traffic-filter（流量过滤） inbound（入站） acl 2000—在这个接口调头2000这个ACL访问控制表
rule 5：这个值越小越优先

配置高级ACL

• ping=icmp协议
• telnet=tcp协议

acl 3000—建立高级ACL列表
rule deny icmp souce 源ip网段 0.0.0.255（反码，代表任意ip）destination（目标） 目标ip 0（反码代表指定ip）—配置高级命令，拒绝来自这个网段的icmp协议访问，但允许其他协议访问。
系统：interface 接口号—进入物理接口
traffic-filter inbound acl 3000—调用acl表
补充：rule deny tcp source 源IP 反码 destination 目标IP 反码 destination-port eq telnet—拒绝tcp协议中的telnet

注意点：

• 一个接口的同一个方向只能调用一个acl控制表，每个端口，每个方向，每条协议只能对应一条访问列表；
• 一个ACL里面可以有多个rule规则，从上往下依次执行，具有严格限制条件的语句应该放在访问列表所有语句的最上面
• 数据包一旦被某个rule规则匹配就不再继续往下匹配
• 华为：默认隐含放过所有数据包，在acl配置时应该注意
• 不能过滤路由器自己产生的数据（只能控制外面进来的数据，有一个出和入）