本文详细介绍了访问控制列表(ACL)的基础知识,包括其在路由器上的作用、匹配规则、类型(标准与扩展)以及两种写法(编号与命名)。标准ACL关注源IP地址,扩展ACL则涉及源、目标IP、端口和协议。文章通过实例演示了如何配置和删除ACL,并讲解了反掩码的概念,帮助读者深入理解网络流量控制。
ACL:访问控制列表
它的作用有两个:
1、访问控制-----在路由器上流量进或出的接口上规则流量;
2、定义感兴趣流量 —为其他的策略匹配流量
(在NAT中有具体的应用)
----------访问控制:将ACL列表定义好了之后,将列表在路由器的接口上进行调用,当流量从接口上通过时,进行匹配,匹配成功后按照列表上设定好的动作进行处理。动作------允许(permit)、拒绝(deny)。
匹配的规则是:(1)自上而下,依次进行匹配,上条匹配上了就不再看下条;
(2)列表的末尾拒绝所有(如果匹配到了列表的最后一条还是 没有成功,则最后匹配的是在末尾隐含的 deny any.)
ACL分为两种;
1.标准ACL******仅仅关注数据包中的ip地址
2.扩展ACL******关注数据包中的源、目标ip地址、目标端口号、协议号
ACL写法分为两种;
1.编号写法 标准(1~99) 扩展(100~199)
2.命名写法 一个名字一张表
二者在删除时,编号写法的列表,删除就是将整张表删除;命名写法的列表,可以随意的删除列表中的某条。
接下来就是对于创建ACL列表的指令配置:
标准ACL
由于标准的ACL仅关注数据包的源ip地址,调用时尽量的靠近目标,避免在删除的时候误删。
编号写法
Router(config)#access-list 1 deny host 192.168.4.2
拒绝单一设备(access-list 1 deny 后加host 和你所要拒绝的单一设备的ip地址)
Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255
拒绝范围(access-list 1 deny 后跟网段 子网掩码换为反掩码*)
Router(config)#access-list 1 deny any (any 全部所有 deny any 拒绝所有)
下边的指令为创建列表然后在靠近目标
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
