ACL原理和配置

一.ACL概述

1.介绍

ACL 访问控制列表,可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

2.概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具,能够对报文进行匹配和区分。

ACL原理和配置_第1张图片

3.应用

①应用在接口的ACL-----过滤数据包(五元组:源IP地址、目的IP地址、协议号、源端口、目的端口 )

②应用在路由协议-------匹配相应的路由条目

③NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流 

二.ACL基本概念及其工作原理

1.ACL工作原理

当数据包从接口经过时,由于接口启用了acl, 此时路由器会对报文进行检查,然后做出相应的处理。

2.ACL种类

3.ACL组成

ACL原理和配置_第2张图片

4.ACL的应用原则

基本ACL,尽量用在靠近目的点

高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源)

5.通配符

通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严格匹配,哪些比特位无需匹配。

通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络掩码完全不同。

区别:

子网掩码 1111   0主机  配置ip地址的时候用  连续1 来表示网络位

反掩码   0000   1主机  路由协议(ospf协议)  连续0来表示网络位

通配符掩码   可以0 1穿插  0不可变   1可变

三.配置

1.利用ip地址+通配符匹配流量

[R1]acl 2000   ###创建ACL

[R1-ACL-BASIC-2000]rule permit source 192.168.1.0 0.0.0.255
           中文:    规则  允许   源头 (要通过的IP地址和通配符,注:如果要允许所有通过IP为:0.0.0.0)
###允许192.168.1.0网段通过(将permit换成deny则是拒绝)

2.入站(Inbound)及出站(Outbound)方向

ACL原理和配置_第3张图片

你可能感兴趣的:(网络,网络)