个人名片:
🐼作者简介:一名大二在校生,喜欢编程🎋
🐻❄️个人主页🥇:小新爱学习.
🕊️系列专栏:🖼️🐓每日一句:🍭我很忙,但我要忙的有意义!
文章目录
- ACL详讲
- 欢迎添加微信,加入我的核心小队,请备注来意
ACL详讲
【 概念 】
访问控制列表,分为基本ACL、高级ACL、二层ACL、用户自定义ACL
常用:基本ACL和高级ACL
【 匹配流量 】
高级ACL可以通过五元组:源IP、目的IP、源端口、目的端口、协议号,精准得去匹配某个流量
【 匹配路由条目 】
基本ACL可以匹配路由条目中的“前缀”部分,但无法匹配“掩码”
所谓路由=前缀+掩码
比如:192.168.12.0/24——192.168.12.0是前缀,24是掩码
所以,ACL无法精准匹配某一条路由!!
【 书写方法 】
acl (2000-2999=基本ACL)
rule x 【 permit/deny 】 source x.x.x.x y.y.y.y
[ rule ]
规则的意思
[ rule x ]
规则号,默认情况下,ACL的基本单位是5,也就是说,第一个rule是5,第二个rule就应该是10
之所以这样规定,是为了方便以后再填写其他的rule
[ permit/deny ]
这条规则的动作,permit=匹配后允许,deny=匹配后拒绝
而允许和拒绝的含义,要参考他的调用场景
[ source ]
在匹配流量的时候,指的是:设备发送的报文的源IP地址
在匹配路由的时候,指的是:路由条目中的“前缀”部分
[ x.x.x.x y.y.y.y ]
x.x.x.x是源IP地址或路由条目的前缀
y.y.y.y是通配符(WildCard)
[ 通配符 ]
0是要检查的位,1是不检查的位
反掩码:是掩码的反转,掩码的书写规则是1和0永远不交叉,所以反掩码也是这样
通配符:1和0可以交叉
【 匹配奇偶路由 】
比如,我们公司有很多路由网段:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.4.0/24
192.168.5.0/24
192.168.6.0/24
……
而公司要求我们对第三个字节为奇数的路由条目进行操作
此时,我们可以通过ACL进行奇数路由的匹配
acl 2000
rule 5 permit source 192.168.1.0 0.0.254.0
而偶数路由匹配的原理相同:
acl 2000
rule 5 permit source 192.168.0.0 0.0.254.0
我们使用的就是通配符:0是检查的bit位,1是不检查的bit位
而奇数路由的特点是:第三个字节最后一个bit位为1
而偶数路由的特点是:第三个字节最后一个bit位为0