acl產生的背景:
網路規模開發,威脅變多,網路資源的開發和訪問,企業業務和資料的安全,對資料流過濾.
acl(access control lists訪問控制列表)定義:
是路由器和交換機(三層)的指令列表(通過介面控制流量),用來控制埠進出的資料報。
訪問控制列表裡面包含了匹配關係,條件和查詢語句。表只是乙個框架結構,在表中會放很多控制語句。
acl的功能:
流量控制
匹配感興趣的流量
acl的分類和區別:
根據它使用的列表的列表號,按照錶號的不同分成兩類。
第一類:編號範圍2000-2900,基本acl(標準acl)。基於源ip位址進行過濾的。
第二類:編號範圍3000-3900,高階acl(擴充套件acl)。基於源和目的ip位址以及源和目的埠(tcp/udp),協議型別進行過濾。
對應用層埠的控制方式比較廣泛。
acl的配置原則:
基於每種協議設定乙個acl:資料是通過什麼方式過來的—tcp,udp,icmp,http
基於每個方向設定乙個acl:區分資料的進和出。
基於每個介面設定乙個acl:基於介面進行控制。
acl的工作原理:
入站配置acl:
對資料進行分組,通過acl分組處理,然後再放到路由器的出口
出站配置acl
通常情況下把acl放在入站口
acl配置:
第一類配置:
配置ip
預設路由ip coute-static 0.0.0.0 24 下一條
建立基本acl錶號是2000:acl 2000
配置拒絕條例:rule deny sourec 192.168.1.2 0
rule 5 越小越優先
在(入站)介面上呼叫acl表:traffic-filter inbound acl 2000
第二類配置:
建立基本acl錶號是3000:acl 3000
拒絕pc1和pc2ping server 1,但是允許http訪問(隱藏):rule deny icmp sour 192.168.1.0 0.0.0.255 destin 172.16.1.3 0
在(入站)介面上呼叫acl表:traffic-filter inbound acl 3000
traffic-filter:流量過濾
inbound:入
注意點:
乙個介面的同乙個方向,只能呼叫乙個acl;每個埠,每個方向,每條協議只能對應一條訪問列表。
乙個acl裡面可以有多個rule規則,從上往下依次執行;具有嚴格限制條件的語句應該放在訪問列表所有語句的最上面。
資料報一旦被某個rule規則匹配,就不再繼續往下匹配
華為:在acl配置時,預設隱含放過所有資料報
訪問列表不能過濾路由器自己產生的資料,只能控制外面進來的資料,有乙個入和出,自己的資料控制不了。
ping屬於icmp協議
計算機網路9 計算機網路效能
1.網路效能的衡量指標 2.速率 3.頻寬 4.延遲 5.丟包率 6.時延頻寬積 7.吞吐率 網路效能的好壞可以由網路的速率 頻寬 延遲 丟包率 網路頻寬積 吞吐率等方面來判斷,下面讓我們一一詳細介紹。速率 資料率 data rate 也稱 資料傳輸速率或位元率 bit rate 指的是 單位時間 ...
計算機網路 計算機網路的效能
目錄 1.網路效能的衡量指標 2.速率 3.頻寬 4.延遲 5.丟包率 6.時延頻寬積 7.吞吐率 網路效能的好壞可以由網路的速率 頻寬 延遲 丟包率 網路頻寬積 吞吐率等方面來判斷,下面讓我們一一詳細介紹。速率 資料率 data rate 也稱 資料傳輸速率或位元率 bit rate 指的是 單位...
計算機網路學習 計算機網路效能
出自 1.網路效能的衡量指標 2.速率 3.頻寬 4.延遲 5.丟包率 6.時延頻寬積 7.吞吐率 網路效能的好壞可以由網路的速率 頻寬 延遲 丟包率 網路頻寬積 吞吐率等方面來判斷,下面讓我們一一詳細介紹。速率 資料率 data rate 也稱 資料傳輸速率或位元率 bit rate 指的是 單位...