1、acl(access control list。訪問控制列表)是用來實現資料報識別功能的
2、acl可應用於諸多方面
nat(network address translation,網路位址轉換)
qos(quality of service,服務質量)的資料分類
路由策略和過濾
按需撥號
acl可以通過定義規則來允許或拒絕流量的通過
對進出的資料報諸葛過濾,丟棄或允許通過
acl應用於介面上,每個介面的出入雙向分別過濾
僅當資料報經過乙個介面時,才能被此介面的此方向的acl過濾
萬用字元掩碼和ip位址結合使用以描述乙個位址範圍
萬用字元掩碼和子網掩碼相似,但含義不同
0表示對應位須比較
1表示對應位不比較
注:反子網掩碼0必須是連續的,萬用字元掩碼0可以是不連續的、
192.168.0.1 0.0.2.255(0不連續) 表示192.168.0.0/24和192.168.2.0/24 兩個網段
** 基本acl:只能匹配源ip位址(只匹配從**來)
從1.1.1.1來的資料報不讓通過,其他都可以高階訪問控制列表根據報文的源ip位址、目的ip位址、ip承載的協議型別、協議特性等三四層資訊制定規則
acl配置:(續上)
r2:[r2]acl number 2000 建立基本acl
[r2-acl-basic-2000]rule ?
integer<0-4294967294> id of acl rule
deny specify matched packet deny
permit specify matched packet permit
[r2-acl-basic-2000]rule deny source 10.0.0.1 0 禁止10.0.0.1 可以不寫rule 數字規則從小到大執行 (deny 禁止 permit 允許)書寫role時要從小規則到大規則書寫,不寫rule 數字時插入規則更加方便
[r2-acl-basic-2000]dis th
[v200r003c00]
acl number 2000
rule 5 deny source 10.0.0.1 0 預設書寫第一條規則為5,方便插入其他規則
[r2]display acl all 產看全部acl
[r2-gigabitethernet0/0/0]traffic-filter inbound acl 2000
acl 2000 規則不讓進入介面g0/0/0 介面 (traffic-filter 流量過濾)
r2 ping 10.0.0.1 不能通訊 其他網路皆可ping通 acl配置成功
acl單向ping配置:
r2 可以ping 20.0.0.1 20.0.0.1不能pingr2
[r2]undo acl number 2000 刪除之前的acl
[r2-gigabitethernet0/0/0]undo traffic-filter inbound
[r2-acl-adv-3000]rule deny icmp source 20.0.0.1 0 destination 1.1.1.2 0 icmp-type echo
禁止20.0.0.1 0 發往1.1.1.2 0 的icmp報文echo請求 (destination 目的)
[r2-gigabitethernet0/0/0]traffic-filter inbound acl 3000 g0/0/0介面不允許acl 3000進入
r2 ping 20.0.0.1 可以ping通
[r1]ping -a 20.0.0.1 1.1.1.2 r1 帶源ippingr2 不能pingtong
其他網路皆可ping通
訪問控制列表
使用 acl 的指導原則 命名 acl 為 acl 指定名稱 名稱中可以包含字母數字字元。建議名稱以大寫字母書寫。名稱中不能包含空格或標點,而且必須以字母開頭。您可以新增或刪除 acl 中的條目。acl 的最佳做法 注 使用 acl 時務必小心謹慎 關注細節。一旦犯錯可能導致代價極高的後果,例如停機...
ACL訪問控制列表
acl的基本原理 功能與侷限性 網路中常說的acl是網路裝置所提供的一種訪問控制技術 其他很多地方也用到了acl 初期僅在路由器上支援,近些年來已經擴充套件到三層交換機,部分最新的二層交換機如2950之類也開始提供acl的支援。只不過支援的特性不是那麼完善而已。在其它廠商的路由器或多層交換機上也提供...
ACL訪問控制列表
技術從來都是一把雙刃劍,網路應用與網際網路的普及在大幅提高企業的生產經營效率的同時,也帶來了諸如資料的安全性,員工利用網際網路做與工作不相干事等負面影響。如何將乙個網路有效的管理起來,盡可能的降低網路所帶來的負面影響就成了擺在網路管理員面前的乙個重要課題。a公司的某位可憐的網管目前就面臨了一堆這樣的...