ACL 访问控制列表
一、产生背景
二、ACL概念 以及如何实现
1. 根据不同的规则
对数据包进行分类
对不同类型报文进行处理
实现对网络行为的控制,限制网络流量。。。
2.匹配和不匹配
针对某个网段的数据流量进行操作,匹配上了就执行,没有匹配上,就不执行控制列表内的内容
ACL的对数据执行的动作 :允许/拒绝---》 针对与流量
3.ACL的分类
*基本 2000-2999 基于源IP地址的控制
*高级 3000-3999 源目IP地址,源目端口号
二层 4000-4999 基于源目MAC地址,以太网帧类型
4.ACL如何实现
1>.确定部署位置
部署在流量的必经之路上
靠近源部署
集中化部署 ---> 尽量少 而精细的部署ACL规则
路由器无法控制来源于自身的数据包
2>.匹配对应的流量
考虑对流量的 允许 / 拒绝
考虑 匹配到的网段/主机的IP地址
0,表示 ACL在检查数据流量的时候, 0对应的位 要 检查
1,对应的位则不关心
3>.决定调用的方向 ----》ACL的掉用 一定在接口上调用的
in/ out 针对与 流量 进入 出 路由器的 行为
观察流量 流经 接口的方式
inbound 方向上调用,先调用ACL,在进行路由转发(对于未匹配上的流量,或者 拒绝的流量,则不进行路由转发)
outbound 方向上调用,先路由转发,在调用ACL (如果路由器根据路由表 找到数据的逃出接口,则在逃出接口上进行ACL的匹配)
4.测试
查看ACL的条目
查看ACL部署在哪一个接口上,
查看部署的方向 in out
5.ACL的匹配规则
按序匹配 从上到下依次匹配,匹配立即停止(命中即生效)
黑白名单 白名单模式,只有匹配上的流量才能进行 permit/deny的操作,
隐式拒绝 一个ACL启用,在不做任何配置的情况下,默认不允许任何数据通过
ACL最后的规则要设置一个 允许所有的流量通过
标签:调用,匹配,访问控制,流量,ACL,部署,接口,开学 来源: https://www.cnblogs.com/99ya/p/14551597.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。