ALC

• Acl ：抓捕名单 - 定义一个acl编号 -- 比如acl 2000

• 1.匹配条件 2.定义动作 -- 一条acl就能定义 permit-允许 deny-拒绝

• 规则：rule

• 包含关系：一个acl列表中，可以定义多个不同规则的，根据不同规则执行不同动作。

• Acl 3000 —— 出一次警

• 1.抽烟 --- 放掉 目的端口= 80 -->permit

• 2.喝酒 --- 放掉 目的端口= 443 -->permit

• 3.烫头 --- 抓起来 目的端口= 8888 -->deny

• 两种用法

• 单独使用：permit-允许 deny-拒绝

• 结合其他技术使用：permit - 抓取/匹配 - NAT

• 区分不同的匹配项：

• 基本acl：抓的东西少-匹配项少-更粗暴 - 匹配源IP - 2000-2999之间

• 高级acl：抓的东西多-匹配项多-更精细 - 匹配五元组 - 3000-3999之间

• 如何可以把数据匹配出来？

• 路由器转发 [三层转发] - 源目IP 协议号 源目端口 -- 五元组

• Acl 设备中的一个小功能

• 接口：收到数据 - 入接口 - inbound

• 接口：发送数据 - 出接口 - outbound

• 接口下调用acl；acl挂接到接口下

• 根据入口/出口流量进行检查，根据你的配置

• 总结：

• 1.定义acl匹配参数

• 2.定义匹配参数的动作

• 3.将acl挂接到接口下

• 华为：acl在接口下调用时，默认有一条permit any

• 即便数据没有匹配任何规则，那么默认通过

• 思科：acl在接口下调用时，默认有一条deny any

• 即便数据没有匹配任何规则，那么默认拒绝