之前我们学习的静态路由和动态路由部分,都是网络中最基础的部分,需要我们熟练掌握,并能应用到实际中!今天我们来学习一个抓取流量的工具--ACL(访问控制列表)!
ACL(访问控制列表--Access Control List)是一种路由器配置和控制网络访问的一种有力的工具。适用于所有的路由协议。
一、作用
1、控制路由器应该允许或拒绝数据包通过
2、监控流量
3、检查网络的安全性(自上向下),检查和过滤数据和限制不必要的路由更新,让网络资源节约成本
注:路由表属于控制层面,ACL属于数据层面
二、两个动作、ACL分类以及匹配规则
1、动作 deny 拒绝
permit 允许
2、ACL分类
标准ACL 1-99 仅仅匹配源ip地址,尽量靠近目标
扩展ACL 100-199 关注源ip、目标ip、协议号或端口号,尽量靠近源,ACL不能拒绝自身产生的流量
3、匹配规则---从上往下依次匹配一旦匹配不再往下查询,末尾隐藏拒绝所有
三、ACL写法(编号写法和命名写法)
1、标准ACL
①编号写法
R3(config)#access-list 1 deny 192.168.1.2 0.0.0.0 拒绝192.168.1.2的流量
R3(config)#access-list 1 permit any 允许其它流量通过
切记:拒绝某个地址的流量一定写在前面,然后permit any才是正确的写法。
调用
R3(config)#interface f0/1
R3(config-if)#ip access-group 1 out 在出的接口限制流量
②命名写法 R3(config)#ip access-list standard xx
R3(config-std-nacl)#deny host 192.168.1.2
R3(config-std-nacl)#permit any
2、扩展ACL
①编号写法
R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.2.2
R1(config)#access-list 100 permit ip any any
调用 R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in
②命名写法 R1(config)#ip access-list extended ccna
R1(config-ext-nacl)#deny ip host 192.168.1.2 host 192.168.2.2
R1(config-ext-nacl)#permit ip any any
ACL是保证网络安全最重要的核心策略之一,配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。ACL既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。在实际生活中作用很大,需要我们熟练掌握和使用!
来源:CSDN
作者:Lee_feiyue
链接:https://blog.csdn.net/Lee_feiyue/article/details/79917476