本帖最后由 SPOTO 于 2021-8-10 22:38 编辑
马上点击咨询!
访问控制列表,ACL 两大功能: 流量控制 匹配感兴趣流量 ACL的3P规则: 在每一个接口的每一个方向上,只能针对每种第三层协议应用一个ACL l 每种协议一个 ACL :要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 l 每个方向一个 ACL :一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。 l 每个接口一个 ACL :一个 ACL 只能控制一个接口上的流量。 ACL的规范: l 每个接口,每个方向,每种协议,你只能设置1 个ACL。 l ACL的语句顺序决定了对数据包的控制顺序。在ACL中各项语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被丢弃时,会按照各项语句在ACL中的顺序,根据各语句的判断条件,对数据包进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句 l 把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。 l 你不可能从ACL 从除去1 行,除去1 行意味你将除去整个ACL。 l 默认ACL 结尾语句是deny any,所以你要记住的是在ACL 里至少要有1 条permit 语句 l 创建了ACL 后要把它应用在需要过滤的接口上, l ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。 l 在路由选择进行以前,应用在接口in方向的ACL起作用。 l 在路由选择决定以后,应用在接口out方向的ACL起作用。 标准访问控制列表: 只能根据源地址做过滤 针对整个协议采取相关动作(允许或禁止) 建议将标准访问控制列表放在里目的地址近的地方,因为标准访问控制列表只能对源IP地址进行过滤 扩展访问控制列表: 能根据源、目的地地址、端口号等等进行过滤 能允许或拒绝特定的协议 建议将扩展的访问控制列表放在离源IP地址近的地方,因为扩展访问控制列表可以进行更细化的一些过滤 ACL范围: ACL的入站及出站: ACL的入站及出站: 入站: 在路由选择进行以前,应用在接口in方向的ACL起作用。 当接口入方向收到一个数据包,首先检查接口是否有调用ACL: l 没有ACL,则根据IP包头中的目的地址查路由 l 有ACL,则根据语句顺序进行匹配,如果匹配中,动作为permit,查路由 l 有ACL,则根据语句顺序进行匹配,如果匹配中,动作为deny,则丢弃 l 有ACL,则根据语句顺序进行匹配,如果一条语句都没有匹配中,最后会被被deny any匹配中,则丢弃 出站: 在路由选择决定以后,应用在接口out方向的ACL起作用 l 根据IP包头中的目的地址查路由,有路由,则选择出接口,没有路由,则直接丢弃 l 根据路由查到出接口,出接口out方向是否调用ACL? l 没有ACL,则直接从接口送出去 l 有ACL,则根据语句顺序进行匹配,如果匹配中,动作为permit,则从出接口送出去 l 有ACL,则根据语句顺序进行匹配,如果匹配中,动作为deny,则丢弃 l 有ACL,则根据语句顺序进行匹配,如果一条语句都没有匹配中,最后会被被deny any匹配中,则丢弃 ACL的匹配流程: l 根据语句顺序进行匹配,如果匹配中一条语句,则直接执行动作 l 如果第一条语句没有匹配中,则匹配第二条 l 末尾隐含deny any 通配符掩码: 0 表示严格匹配 1 表示无所谓 简写1: access-list 1 permit 192.168.1.1 0.0.0.0 access-list 1 permit host 192.168.1.1 简写2: access-list 1 permit 0.0.0.0 255.255.255.255 access-list 1 permit any 回帖下载详细文档
进入全国网络工程师交流群 ,请扫描下方二维码↓↓↓
群里有行业大咖、实战分享、技术交流、技术咨询、企业内推等机会
若群满,请添加老杨微信,邀你进群
更多更全学习资料与视频找思博
备考不用慌,大佬带你飞 : 每三位CCIE,有两位来自思博
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2021-7-8 06:52:39
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2021-7-8 09:16:32
楼主