企業(yè)網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信時(shí)箍镜,需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能穩(wěn)定错维。
訪問控制列表ACL(Access Control List)可以定義一系列不同的規(guī)則壁榕,設(shè)備根據(jù)這些規(guī)則對數(shù)據(jù)包進(jìn)行分類皇耗,并針對不同類型的報(bào)文進(jìn)行不同的處理,從而可以實(shí)現(xiàn)對網(wǎng)絡(luò)訪問行為的控制赞哗、限制網(wǎng)絡(luò)流量雷则、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等肪笋。
一月劈、ACL應(yīng)用場景
ACL可以通過定義規(guī)則來允許或拒絕流量的通過
二、ACL分類
1涂乌、一個(gè)ACL可以由多條“deny | permit”語句組成,每一條語句描述了一條規(guī)則英岭。
2湾盒、設(shè)備收到數(shù)據(jù)流量后,會(huì)逐條匹配ACL規(guī)則诅妹,看其是否匹配罚勾。如果不匹配毅人,則匹配下一條。一旦匹配尖殃,則執(zhí)行規(guī)則中定義的動(dòng)作丈莺,并不再繼續(xù)與后續(xù)規(guī)則進(jìn)行匹配。如果找不到匹配的規(guī)則送丰,則設(shè)備不對報(bào)文進(jìn)行任何處理缔俄。
3、規(guī)則的匹配順序決定了規(guī)則的優(yōu)先級(jí)器躏,ACL通過設(shè)置規(guī)則的優(yōu)先級(jí)來處理規(guī)則之間重復(fù)或矛盾的情形俐载。
4、ARG3系列路由器支持兩種匹配順序:配置順序和自動(dòng)排序登失。配置順序按ACL規(guī)則編號(hào)(rule-id)從小到大的順序進(jìn)行匹配遏佣。通過設(shè)置步長,使規(guī)則之間留有一定的空間揽浙。默認(rèn)步長是5状婶。路由器匹配規(guī)則時(shí)默認(rèn)采用配置順序。自動(dòng)排序使用“深度優(yōu)先”的原則進(jìn)行匹配馅巷,即根據(jù)規(guī)則的精確度排序膛虫。
通配符掩碼:
0 ---表示匹配
1 ---表示忽略
A
CL 用于匹配流量默認(rèn)隱含一條permit any, 用于匹配路由默認(rèn)隱含一條deny any
三令杈、ACL配置
基本ACL: 針對源地址走敌,靠近目的端配置
AR2進(jìn)行配置:
[AR2]interface GigabitEt
hernet 0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
PC1可以訪問服務(wù)器
192.168.2.0網(wǎng)段無法訪問服務(wù)器
高級(jí)ACL: 一般靠近源端
[AR1]acl number 3000
[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0
[AR1-acl-adv-3000]int g 0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[AR1]acl number 3000
[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp
ACL配置成功拒絕訪問FTP服務(wù)。
關(guān)注分享該WX Gongzhonghao:華億網(wǎng)絡(luò)實(shí)驗(yàn)室? 或 huayinetwork逗噩,
持續(xù)分享干貨網(wǎng)絡(luò)技術(shù)掉丽,每天10份學(xué)習(xí)資料下載~
