一、ACL概述
1.1 ACL是什么
-
ACL:(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯(一般是基于通信五元素进行过滤)。设备可以根据读取的第二、三层的包头信息,根据预先定义好的规则对包进行过滤。
-
通信五元素:源IP地址、目的IP地址、源端口、目的端口、协议(四元素则去掉协议)
-
访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
二、ACL工作原理与应用原则
2.1 ACL工作原理
- 当数据包从接口经过时,由于接口启用了ac1,此时路由器会对报文进行检查,然后做出相应的处理
2.2 ACL应用原则
1、一个接口的同一个方向只能调用一个ACL
2、一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某个rule匹配,就不再往下继续匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
三、ACL的分类与作用
3.1 ACL的分类
- 基本ACL(2000~2999):只匹配源IP
- 高级ACL(3000~3999):可根据通讯五元素匹配
- 二层ACL(4000~4999):根据数据包的源MAC地址、目的MAC地址、802.1g优先级、二层协议类型等二层信息制定规则。
- 基本ACL:尽量用在靠近目的点
- 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
四、ACL实验
- 实验完成以下任务:
1、仅允许PC1访问192.168.2.0/24网络
2、禁止192.168.1.0/24网段ping web服务器
3、仅允许client1服务器访问web服务器的www服务
(1)解题思路:一台主机所以我们用基本ACL就能解决,它的要求是仅允许一台访问,所以我们设置PC1能访问的同时,再设置拒绝其余所有主机访问(华为默认放通所有)
验证一下:PC1ping一下PC3
(2)解题思路:禁止一个网段进行ping,ping的话用到的协议是ICMP,那么需要用到高级ACL,只需要禁止192.168.1.0/24网段进行ping就行,其余都可以访问,所以不用设置
验证:
(3)解题思路:仅client1访问web服务器的www(端口号:80),还是高级ACL,设置它可以访问,禁止其余所有访问
