其他分享
首页 > 其他分享> > HCIA~ACL原理与配置

HCIA~ACL原理与配置

作者:互联网

1、ACL技术概述

ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。

技术背景:需要一个工具,实现流量过滤

ACL概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具,能够对报文进行匹配和区分。 

2、ACL的基本概念及其工作原理

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。

规则编号

规则编号(Rule ID): 一个ACL中的每一条规则都有一个相应的编号。

步长(Step): 是系统自动为ACL规则分配编号时,每个相邻规则编号之间的差值,缺省值为5。步长的作用是为了方便后续在旧规则之间,插入新的规则。

Rule ID分配规则: 系统为ACL中首条未手工指定编号的规则分配编号时,使用步长值(例如步长=5,首条规则编号为5)作为该规则的起始编号;为后续规则分配编号时,则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

 通配符

1、子网掩码:配置地址时,直接配置子网掩码用于确定网络位个数

2、反掩码:OSPF配置时所用,和正掩码完全相反,0和1完全相反但意义相同

3、通配符:ACL所使用,0代表匹配,1代表不匹配,0和1可以不连续

ACL的分类与标识

10.1.0.0/17使用通配符掩码匹配出该网段所有的地址

0.0.127.255

192.168.1.0/24,使用通配符掩码匹配出所有的小于32的IP地址

0.0.0.31

基本ACL&高级ACL

高级ACL配置

acl 3000

rule 5 deny tcp source 10.1.1.1 0 destination 3.3.3.3 0 destination-port eq 23

规则五 拒绝 TCP协议 来自于源10.1.1.1 目的3.3.3.3    目标端口号23

ACL的匹配机制

ACL的匹配顺序及匹配结果

配置顺序(config模式)

系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。

ACL的匹配位置

入站 (Inbound)及出站 (Outbound)方向

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

调用ACL,在该接口入方向调入ACL2000

3、ACL的基础配置及应用

基本ACL的基础配置命令

高级ACL的基础配置命令

思考题

1、(单选)下列选项中,哪一项才是一条合法的基本ACL的规则?(C  )

A、rule permit ip

B、rule deny ip

C、rule permit source any

D、rule deny tcp source any

2、高级ACL可以基于哪些条件来定义规则?

源目IP、协议类型、端口号等

----以上内容为誉天教育培训过程中所记,如有雷同纯属巧合----

标签:deny,匹配,编号,HCIA,ACL,步长,规则,原理
来源: https://blog.csdn.net/m0_45912044/article/details/123574995