原理解释
访问控制列表(ACL)
控制数据通信可达性主要需要使用两种组件:
1,数据匹配工具
2,数据控制工具
必须同时使用否则没有意义。
中国公民如果犯了法匹配到犯罪嫌疑人分类(匹配)。
犯罪嫌疑人需要受到法律的处置(控制)。
ACL(Access Control Lists)就是一个标准的数据匹配工具。但是如果仅仅使用ACL进行匹配对匹配后的数据不进行控制,分类也没有意义。
ACL是一个简单的数据分类工具,而数据控制工具有很多种。
比如控制某一类流量无法访问网络而其他流量可以访问这种控制方式称为包过滤防火墙。
控制某一类数据在网络中传输时进行加密,这种控制方式称为IPsec v*n。
acl 2000(列表名称)
rule 5 deny source 192.168.1.0 0.0.0.255 (规则)
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 172.16.0.0 0.0.0.255
不同的控制工具建议使用不同的ACL列表。
2000表示列表编号:如果取值编号为2000-2999只能对源IP进行控制,称为基本ACL,
如果取值3000-3999,能在基本ACL的基础上再进行目标的控制。
5/10/15,规则编号步长为5,因为数据包在匹配ACL的过程中,是顺序匹配,从第一条开始,逐条向下匹配,一旦命中某一条规则后,不再继续匹配规则。
**deny:**命中规则后拒绝
**perrmit:**命中规则后允许
192.168.1.0 0.0.0.255:
正掩码:从左开始连续N个1.
**反掩码:**正掩码的0变1,1变0.
通配符掩码:看起来很像反掩码,但是和反掩码不同,可以写成0.255.0.255。通配符掩码中的0表示需要匹配,1表示不需要匹配。
规则1:192.168.1.0 0.0.0.255
比如某数据包的SIP是192.168.1.100
ACL中的IP地址和通配符掩码如下:
实验
实验需求:
两种思路分析:
1.中间这个路由器,g/0/0/2 接口。进行控制
2.中间路由器,g0/0/1 接口进行控制。
这里给出方法一的配置:
请首先实现全网互通;
在系统视图下:
acl rule deny source 192.168.2.1 //拒绝 源IP是192.168.2.1 的通信
interface g0/0/2 //进入接口应用acl表
traffic-filter outbound acl 2000 //当数据包出接口时调用acl 2000表进行控制。