本文共 894 字,大约阅读时间需要 2 分钟。
华为HCIA-datacom 学习笔记10——ACL原理与配置
1、技术背景 需要一个工具,实现流量过滤
2、ACL概述 由一系列permit或deny语句组成的有顺序的规则的集合,ACL可以通过匹配IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等;还可以匹配路由条目
3、ACL的组成
编号、规则、规则编号、动作、匹配项3.1 匹配项
二层以太网帧头信息(源目的MAC地址、以太帧协议类型)、三层报文信息(源目的IP地址、协议类型)、四层报文信息(TCP/UDP端口)3.2 步长
两条规则编号之间的差值,默认为53.3通配符
当对IP地址进行匹配时,后面跟着32位反网络掩码,0表示匹配,1表示不关心,当通配符全为0来匹配时,表示精确匹配到某个IP地址,当通配符全为1来匹配时,表示匹配了所有IP地址4、ACL的分类
4.1 基本ACL(2000-2999)
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则4.2 高级ACL(3000-3999)
可使用源目的IP地址、IP协议类型、ICMP类型、TCP源目的端口号、UDP源目的端口号、生效时间段来定义规则4.3 二层ACL(4000-4999)
使用源目的MAC地址、二层协议类型4.4 用户自定义ACL(5000-5999)
使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则4.5 用户ACL(6000-6999)
既可使用源IP地址或源UCL组,也可使用目的IP地址或目的UCL组、IP协议类型、ICMP协议类型、TCP源目的端口、UDP源目的端口来定义规则5、匹配流程
5.1 查询是否配置ACL
否 返回匹配结果为不匹配 是 查看是否与规则匹配 否 返回匹配结果为不匹配 是 停止匹配并返回匹配结果为匹配5.2 入站(inbound)及出站(Outbound)方向
根据ip数据包去与回时的源目的IP地址,选择在入站或出站应用ACL整理: 毛尚杰、陈诺、江泽明、梁文婷 排版: 何颖连 审核: 蔡宗唐
点击下方“正月十六工作室”查看更多学习资源
转载地址:http://wkfsf.baihongyu.com/