访问控制列表是由一条或者多条规则(deny、permit)组成的集合,访问控制列表经常被用来做过滤和标记这两件事情,ACL可以分为基本ACL、高级ACL、二层ACL等。
基本ACL:匹配数据包的源地址
基本ACL的配置要点:1、关键字,用于指定规则。2、规则的序号,正常情况下规则从上往下匹配。3、规则的动作,丢弃或者允许符合规则的数据包。4、源,基本ACL只能匹配源。5、指定源地址。6、指定匹配的位数,换算成二进制的0表示精确匹配,1表示可以忽略。
高级ACL:可以多选择匹配
高级ACL配置要点:1、关键字,指定规则。2,规则号。3、执行动作。4、指定协议。5、指定源。6、指定源地址。7、源地址位数,与源地址一起确定匹配的源。8、指定目的。9、指定目的地址。10、目的地址匹配位数,与目的地址一起确定匹配的目的。
ACL的作用:过滤数据包和抓取数据包
①ACL的过滤作用测试:
如图:需求中192.168.1网段的奇数地址只可以访问100.100.100.4这台设备,192.168.1网段的偶数地址只可以访问100.100.100.5这台设备,其余的不能访问
操作要求:在AR1上操作
分析:192.168.1网段。指定了网段,那么前三个字节需精确匹配,第四字节的最后一位决定了匹配的是奇数还是偶数,最后一位为0匹配偶数地址,最后一位为1匹配奇数地址。只能访问说明目的地址必须是精确全匹配。
配置步骤:
1、建立高级ACL:
acl number 3000
rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.4 0
rule 10 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.5 0
rule 100 deny ip
2、调用ACL(一般是在靠近源的地方调用)
interface GigabitEthernet0/0/0
ip address 10.0.12.1 255.255.255.0
traffic-filter outbound acl 3000
调用时注意方向,设备往外发送叫做出方向,从外面进入设备叫做入方向。方向不一样源和目的会有相应的变化。
测试结果及说明:
说明:PC1地址192.168.1.1与100.100.100.4通信时,源192.168.1.1,目的100.100.100.4,当从设备G0/0/0口往外发出去时进行ACL的匹配,匹配中第一条之后便按照第一条的允许操作允许数据包通过,当匹配中之后ACL便不会再外下匹配。通过匹配数5可以看到通过的数据包的数量。
PC1与100.100.100.5通信时,源192.168.1.1,目的100.100.100.5,执行ACL规则匹配,第一条规则不匹配,然后往下继续匹配,第二条规则中,最后一个字节的最后一位必须是0,而1的最后一位是1,所以不匹配,匹配到第三条被拒绝通过,所以不能通信。
说明:PC2与100.100.100.4通信时,匹配第三条规则被拒绝,与100.100.100.5通信时匹配中第二条被放行。
说明:PC3与100.100.100.4和100.100.100.5通信时,都匹配中第三条规则被拒绝。
②ACL用于标记作用测试:
需求:192.168.1网段的奇数地址只可以访问100.100.100.4这台设备,192.168.1网段的偶数地址只可以访问100.100.100.5这台设备,其余的不能访问
1、AR1上配置ACL,抓取数据流
acl number 3000
rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.5 0
acl number 3001
rule 5 permit ip source 172.17.20.0 0.0.0.255
acl number 3002
rule 5 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.4 0
2、配置流分类
traffic classifier test1 operator or
if-match acl 3002
traffic classifier test operator or
if-match acl 3000
traffic classifier test2 operator or
if-match acl 3001
3、配置流行为
traffic behavior test1
remark dscp cs7
traffic behavior test
remark dscp ef
traffic behavior test2
remark dscp cs6
4、配置流策略
traffic policy test
classifier test behavior test
classifier test1 behavior test1
classifier test2 behavior test2
5、出接口调用流策略
interface GigabitEthernet0/0/0
ip address 10.0.12.1 255.255.255.0
traffic-policy test outbound
AR2上的配置:
1、配置流分类,抓取DSCP值
traffic classifier test1 operator or
if-match dscp cs6
traffic classifier test operator or
if-match dscp ef
traffic classifier test2 operator or
if-match dscp cs7
2、配置流行为,拒绝访问
traffic behavior deny
deny
3、配置流策略
traffic policy test
classifier test behavior deny
classifier test1 behavior deny
classifier test2 behavior deny
4、入接口调用流策略
interface GigabitEthernet0/0/0
ip address 10.0.12.2 255.255.255.0
traffic-policy test inbound
结果如下:
閱讀更多 netlab 的文章