ACL访问控制列表学习笔记23

ACL访问控制列表学习笔记23

ACL参考：control list（访问控制列表）-作用：匹配感兴趣的流量（过滤）实现：规则（很多）动作（permit/deny）事情（把acl放入具体事件里：nat、traffic等）表示：ID（数字）:有范围空间NAME（名字）类型：思科/华为标准acl/基本ac：基于原ip地址的过滤规则ID（华为000-2999）NAME扩展acl/高级aclID（华为3000-3999）NAME

今天所学acl是针对三层头部的acl；对三层和四层检测根据规则进行匹配过滤Acl有个acl匹配列表收到数据包，根据列表从上到下匹配，匹配合适，就不在往下匹配数据包：L2头部+L3头部+DATA+FCSIp-aclL3Source ip +destination ip基本acl 仅仅关注IP头部中的source-ip高级acl可以同时关注source和destination，并且还可以关注ip头部后面的内容（tcp、udp’）研究流量本身（特点+结构，方向）

Acl步调长度默认5所放端口位置：基本acl（粗糙）放在距离目标设备近的端口上设置出方向

ACL的配置思路：0、确保原有数据的连通性(基于现网的需求来定)1、 查看设备上已经存在的aclDisplay acl [2000] |all2、 创建一个aclAcl 2000Rule 5 permit(允许)/deny（拒绝）source IP地址 通配符（0对应的位置是不变的，关心的）*3、 调用acl先看在哪个方向来的流量的端口进行流量匹配（过滤）Interface：端口视图，traffic（流量）-filter（过滤） inbound（入向） acl 20004、 验证、测试、保存Display acl 2000Display traffic-filter applied-record 查看acl的调用信息Display traffic-filter statistics interface g0/0/0 inbound查看特定端口上条用的acl的使用信息5、 删除a) 先解除调用再删除b) 当端口上调用一个不存的的acl时，表示的是允许所有Tips：同一端口的同一个方向只允许有一个acl；如果想更改端口上调用的acl，必须先删除原有的acl，再次调用一个新的acl；端口上的acl不允许直接覆盖华为中的acl没有匹配的流量，默认是允许的如果不写source或者destination时则代表所有

Acl里面rule的优先级：1、 rule后面数字越小优先级越高2、 故每次创建rule时中间都空格几个数值，便于后期插入新的规则

Tips：acl对设备本身发起的流量是不起作用的对设备穿越流量，是起作用的

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。