ACL的基本原理
ACL(Access Control List)访问控制列表,原理:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的保温进行匹配,然后对匹配的白文执行事先设定好的处理动作。这些匹配规则及相应的处理动作是根据网络需求而设定的。
ACL分为基本ACL和高级ACL。
基本ACL只能根据IP报文的源IP 地址、报文分片标记和时间段信息来定义规则。
基本ACL配置思路:
1.在路由器Router上创建ACL
2.在ACL中制定规则
3.在VTY上应用所配置的ACL:user-interface vty 0 4
acl 2000 inbound
authentication-mode password
user-interface vty 0 4参数说明:
user-interface 是指用户界面。
vty ,全称为Virtual Teletype Terminal,指虚拟终端。不带vty的,就是实实在在的端口。
0 4 :0是初始值,4是结束值。表示可同时打开5个会话,进入交换机去配置命令,并且使用的配置都是一样的。
高级ACL可以根据IP报文的源地址、IP报文的目的地址、IP报文的协议字段的值、IP报文的优先级的值、IP报文的长度值、TCP报文的源端口号、TCP报文的目的端口号、UDP报文的源端口号、UDP报文的目的端口号等信息来定义规则。基本ACL是高级ACL的一个子集。
注意:源IP地址指的就是发送数据包的那个电脑的IP地址。
目的IP地址就是想要发送到的那个电脑的IP地址。
最后,使用报文过滤技术中的 traffic-filter inbound acl+数字/name +名称 的命令将该ACL应用在路由器的某个接口的入方向上。对相应的流量数据进行限制或者放行。