企業(yè)網(wǎng)絡(luò)中的設(shè)備進行通信時,需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能穩(wěn)定。
訪問控制列表ACL(Access Control List)可以定義一系列不同的規(guī)則,設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進行分類,并針對不同類型的報文進行不同的處理,從而可以實現(xiàn)對網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等。
一、ACL應(yīng)用場景
ACL可以通過定義規(guī)則來允許或拒絕流量的通過
二、ACL分類
1、一個ACL可以由多條“deny | permit”語句組成,每一條語句描述了一條規(guī)則。
2、設(shè)備收到數(shù)據(jù)流量后,會逐條匹配ACL規(guī)則,看其是否匹配。如果不匹配,則匹配下一條。一旦匹配,則執(zhí)行規(guī)則中定義的動作,并不再繼續(xù)與后續(xù)規(guī)則進行匹配。如果找不到匹配的規(guī)則,則設(shè)備不對報文進行任何處理。
3、規(guī)則的匹配順序決定了規(guī)則的優(yōu)先級,ACL通過設(shè)置規(guī)則的優(yōu)先級來處理規(guī)則之間重復(fù)或矛盾的情形。
4、ARG3系列路由器支持兩種匹配順序:配置順序和自動排序。配置順序按ACL規(guī)則編號(rule-id)從小到大的順序進行匹配。通過設(shè)置步長,使規(guī)則之間留有一定的空間。默認步長是5。路由器匹配規(guī)則時默認采用配置順序。自動排序使用“深度優(yōu)先”的原則進行匹配,即根據(jù)規(guī)則的精確度排序。
通配符掩碼:
0 ---表示匹配
1 ---表示忽略
ACL 用于匹配流量默認隱含一條permit any, 用于匹配路由默認隱含一條deny any
歡迎系統(tǒng)學(xué)習華為網(wǎng)絡(luò)朋友以下專欄視頻進行學(xué)習,完整系統(tǒng),講解細致理論配合實戰(zhàn)講解,適合從零基礎(chǔ)學(xué)網(wǎng)絡(luò)的朋友!萬丈高樓平地起,根基非常重要!
三、ACL配置
基本ACL: 針對源地址,靠近目的端配置
AR2進行配置:
[AR2]interface GigabitEt
hernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
PC1可以訪問服務(wù)器
192.168.2.0網(wǎng)段無法訪問服務(wù)器
高級ACL: 一般靠近源端
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0
[AR1-acl-adv-3000]int g 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[AR1]acl number 3000
[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp
ACL配置成功拒絕訪問FTP服務(wù)。
歡迎關(guān)注和轉(zhuǎn)發(fā),想深入學(xué)習更多網(wǎng)絡(luò)技術(shù)或者有問題需要咨詢,可以單獨私信交流!
同時歡迎加入網(wǎng)工圈子討論交流技術(shù)!
