今天来总结下关于ACL的原理,我希望大家看完我总结的以后都能拨开云雾见明日,小女子涉足通信专业不足两年,理解不到的地方和有误的地方期待指正点拨,共同进步不胜感激,反哺计划现在开始:
1、ACL是什么?
access control list 翻译过来就是:接入控制列表=访问控制列表;
这个东西就像人要有原则性一样,什么样的事情我必须要干,什么样的事情我不可以干;
人=路由器/交换机,好多不同的人有不通的原则=好多不同的RT/sw有不同的ACL。
2、ACL的功能:
数据的过滤/允许、策略路由、特殊数据流的控制……
3、ACL都用在哪里?
防火墙、QOS队列技术、策略路由、数据速率限制、NAT……
4、ACL的分类:
基本ACL:只规定源ip,(你是哪里人?我只要河南的,你是吗?或者:你是哪里人?河南的人我就不要了)
扩展ACL:可规定五元组:源ip目的ip、源端口目的端口、协议类型(你是来自河南的吗?你得是才女,而且叫张慧,还得20岁,老师还得是ZHL,否则不要)
2层ACL:源目的mac,源VLANID、2层以太网类型,802.1q优先级
混合acl:我们老师讲了,混合ACL就是混合的
用户自定义ACL:对VLAN tag的个数和偏移字节进行匹配(啊。。。。。)
5、ACL是怎么工作的呢?
路由器不是有多个接口吗,接口等于大门,我家有钱房子大俩大门。ACL就是看大门的老爷爷,我们网络工程师就是这个大房子的主人,我给老爷爷一个名单,我说“这个、这个、还有这个、这些人是天天找我谈投资的,烦,你要是见了他们你就把他们轰走。剩下这个是我老师,你要是见了一定要快快的把他迎进屋里”两个看大门的老爷爷一人一份,他们拿到我的名单以后就开始做事了,我得先把名单制定好,然后吧名单发给看大门的老爷爷手上,RT有多个接口,我是不是要给每一个个大门的老爷爷都发一个呢?往下看……
对路由器来说,从一个地方到另一个地方,路径目的性强且不是固定。现在,我想从家去学校,我的路线是:小区北门—(假如我要穿过一个动物园)动物园前门—动物园后门—学校北门—进入学校,现在放学,我要回家去,我的路线是:
学校—学校南门—动物园后门—动物园前门—小区南门,
我从家去学校,如果我在动物园前门设置一个ACL说名叫张慧的而且是从家出来的姑娘不能过去,那我在动物园后门还用再设置一个吗?
我从 学校回家,动物园后门设置ACL说,名叫ZHL的老师不能过去,我叫张慧又是姑娘,我成功通过动物园后门,在要过动物园前门的时候发现有ACL,说名叫张慧的而且是从家出来的姑娘不能过去,我虽然叫张慧而且是姑娘,但是我不是从家来的啊,我是从学校来的,不匹配这个规定,我有成功过去。但是路由器区别在于,路由器还要我成功到家以后再回学校报告一声我到家了,我又从家出来,再去学校,可是动物园前门的ACL在哪里,我又过不去了,,,,学校老师以为我没到家,(他才不管我是再哪卡着了)于是记我一次大过。回到路由器上就是,,请求超时。。
懂了吗?说正经的,简练点,干脆点
ACL用在入接口上:不行还得举例(用在动物园前门上,我进门就要先匹配ACL然后查路由表,路由表有就发走,路由表没有就丢弃)
ACL用在出接口上:用在动物园的后门上,我进动物园我先看路由表中有没有去往目的地(学校)的路由,没有丢弃,有就发,,把我发到动物园后门上,一看有ACL,匹配吧,匹配成功再看是允许通过呢还是禁止通过呢,一看,呀允许,我就过去了,不允许就又被丢掉了。
6、ACL小窍门:
基本acl:用在离目的地最近的那个路由器的out接口(对于一次路径来讲)
扩展ACL:用在离源端的最近的那么路由器的in接口上
为什么要这么配置呢,我们老师讲会节省带宽资源的,动动脑筋想想看,我不想写啦,你们比我聪明
7、ACL配置时候注意:
每个ACL中有好多规则,就像我给老爷爷的名单一样,问题来了:
ACL中的规则条目都是从上往下执行的,如果我的规则1说:姓张的都不可以过去,我的规则2说:允许叫姓张的身份是老师的进来。。。。好伤心,规则1匹配生效以后直接张老师就被丢弃了,你怎么不早说,为了不让上述尴尬事情发生,那我就早点说:在设置ACL规则的时候要遵循:主机-网段-any 这个顺序,any是啥?往下看
老爷爷很尽责,可是找我的人太多了,有好多名单上没有的人也来找我,怎么办呢,,,朴实尽责的老爷爷擅自决定了,除了名单上的这些人,剩下的人,统统都禁止掉,,(这个可有好有坏哦,一定要考虑清楚而且细心的配置,特别是在配置扩展ACL的时候,考虑的就更多一些,因为他的条件比较多一点)。
至于ACL的配置命令,我觉得吧,只要原理真的非常透彻的理解透了以后,命令百度一大堆,或者自己实验一下,再补补英文,真的很好记住的。