在路由器流量流入或者流出的接口上匹配流量,之后执行设定好的动作---permit(允许)deny(拒绝)
1.访问控制:
在路由器流量流入或者流出的接口上匹配流量,之后执行设定好的动作---permit(允许)deny(拒绝)
2.抓取感兴趣流
ACL --匹配规则:自上而下逐一匹配,一旦匹配上就不在向下匹配
思科:默认情况下 ACL 列表末尾隐含一条拒绝所有的规则
华为:默认情况下 ACL 列表末尾没有任何规则
ACL存在分类
1.基础ACL:仅关注数据包中的源IP地址
2.高级的ACL:不仅关注数据包中源IP地址,还关注目标IP地址,还可以关注,目标的协议和端口号
3.二层ACL。
4.用户自定义的ACL。
(如果使用基础的acl建议配置位置靠近目标)
过程
1.创建ACL列表
2.写规则
[r2-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0 -- 通配符 0.255.0.255---0代表该二进制不能改变,1代表该二进制可以改变,就会匹配所有192.X.1.X的所有流量
3.调用ACL列表:
在路由器一个接口的一个方向只能调用一张列表
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
[r2-acl-basic-2000]rule 2 permit source 192.168.1.0
0.0.0.255--步长,方便添加或者删除规则如果使用高级ACL 建议配置位置靠近源
1.创建ACL列表--可以手工配置列表的名称(备 注)
[r1]acl name toPC3 3000
[r1-acl-adv-toPC3]
2.写策略(规则)
3.调用
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 --也可以写策略的名字
[r1-GigabitEthernet0/0/1]undo traffic-filter inbound -- 删除接口调用
1.创建列表
[r1]acl 3001
2.写规则
[r1-acl-adv-3001]rule deny tcp source 192.168.1.100
0.0.0.0 destination 192.168.2.2 0.0.0.0 destination port eq 23
3.调用
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3001
