ACL详讲
【 概念 】
访问控制列表,分为基本ACL、高级ACL、二层ACL、用户自定义ACL 常用:基本ACL和高级ACL
【 匹配流量 】
高级ACL可以通过五元组:源IP、目的IP、源端口、目的端口、协议号,精准得去匹配某个流量
【 匹配路由条目 】
基本ACL可以匹配路由条目中的“前缀”部分,但无法匹配“掩码” 所谓路由=前缀+掩码 比如:192.168.12.0/24——192.168.12.0是前缀,24是掩码 所以,ACL无法精准匹配某一条路由!!
【 书写方法 】
acl (2000-2999=基本ACL) rule x 【 permit/deny 】 source x.x.x.x y.y.y.y
[ rule ]
规则的意思
[ rule x ]
规则号,默认情况下,ACL的基本单位是5,也就是说,第一个rule是5,第二个rule就应该是10 之所以这样规定,是为了方便以后再填写其他的rule
[ permit/deny ]
这条规则的动作,permit=匹配后允许,deny=匹配后拒绝 而允许和拒绝的含义,要参考他的调用场景
[ source ]
在匹配流量的时候,指的是:设备发送的报文的源IP地址 在匹配路由的时候,指的是:路由条目中的“前缀”部分
[ x.x.x.x y.y.y.y ]
x.x.x.x是源IP地址或路由条目的前缀 y.y.y.y是通配符(WildCard)
[ 通配符 ]
0是要检查的位,1是不检查的位 反掩码:是掩码的反转,掩码的书写规则是1和0永远不交叉,所以反掩码也是这样 通配符:1和0可以交叉
【 匹配奇偶路由 】
比如,我们公司有很多路由网段: 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 192.168.6.0/24 ……
而公司要求我们对第三个字节为奇数的路由条目进行操作
此时,我们可以通过ACL进行奇数路由的匹配
acl 2000 rule 5 permit source 192.168.1.0 0.0.254.0
而偶数路由匹配的原理相同:
acl 2000 rule 5 permit source 192.168.0.0 0.0.254.0
我们使用的就是通配符:0是检查的bit位,1是不检查的bit位
而奇数路由的特点是:第三个字节最后一个bit位为1
而偶数路由的特点是:第三个字节最后一个bit位为0
