ACL控制流量的方法有很多,你又知道哪几种?

目录

一丶ACL的基本知识

二丶ACL的分类

三丶ACL的配置

 

一丶ACL访问控制列表的基本知识

(一)ACL访问控制列表的作用

1,   访问控制:在路由器流量流入或者流出的接口上,匹配流量,之后执行设定好的动作。(permit ---允许,deny---拒绝)

2,   抓取感兴趣流:ACL可以和其他服务结合使用,ACL只负责抓取流量,其他服务负责执行相应的处理。

(二)ACL的匹配规则

自上而下,逐一匹配,一旦匹配上则将按照对应的动作来执行,而不再向下匹配。

思科体系—ACL访问控制列表末尾隐含了一条拒绝所有的规则。

华为体系—对匹配不上的流量不做额外处理。

二丶ACL的分类

1,基本ACL

匹配流量时,仅关注数据包中的源IP地址。

2,高级ACL

匹配流量时,不仅关注数据包中的源IP地址,还关注数据包中的目标IP地址。以及协议和端口号

3,二层 ACL

4,用户自定义ACL

三丶ACL的配置

(一)需求一---要求PC1可以访问3.0网段,但是PC2不行

基本ACL配置位置原则-因为基本ACL只关注数据包中的源IP,所以 肯能导致误伤,所以,在配置的时候,应该尽可能的靠近目标。

1,创建ACL访问控制列表

[r2]acl 2000

[r2-acl-basic-2000]

2000-2999 基本ACL

3000-3999 高级ACL

4000 -4999 二层ACL

2,   给ACL列表中添加匹配规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

通配符: 1代表可以变,0代表不可变

[r2-acl-basic-2000]rule permit source any ---允许所有

[r2-acl-basic-2000]display acl 2000 ---查看ACL列表

华为设备默认以5为步调自动添加规则序号,为了使插入和删除 规则更加方便。

[r2-acl-basic-2000]rule 8 deny source 192.168.1.2 0.0.0.0 [r2-acl-basic-2000]undo rule 8

3,   接口调用ACL列表

[r2-GigabitEthernet0/0/l]traffic-filter outbound acl 2000

切记:一个接口的一个方向只能调用一张ACL列表,一个接口可以有两张表

(二)需求二:要求PC1可以ping通PC3,但是不能ping通PC4

高级ACL列表的位置匹配规则---因为高级ACL列表进行了精确匹配,所以,不会出现误伤,在调用的时候应该尽量靠近源,减少资源的占用。

[rl]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表

[rl-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168

.3.3 0.0.0.0

[rl-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 --- 通过名称进行调用

(三)需求三:要求PC1可以Ping通R2,但是不能telnet R2

[rl-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0destination 192.168.2.2 0.0.0.0 destination-port eq 23

都看到这里了,创作不易,点个关注小赞再走呗(。・ω・。)ノ♡

 

 

你可能感兴趣的:(华为HCIA的学习之路,华为,网络,网络协议,p2p)