一、为什么要用ACL?
ACL的两大主要功能:
- 流量控制
- 匹配感兴趣流量
二、ACL的类型
标准访问控制列表
- 只能根据源地址做过滤
- 针对整个协议采取相关动作
扩展访问控制列表
- 能根据源、目的地址、端口号等等做过滤
- 能允许或拒绝特定的协议
三、ACL的操作
入站(in):接口对流入的流量进行相关策略过滤。只对流入的流量进行控制,对流出这个接口的流量不受影响。
出站(out):接口对流出的流量进行相关策略过滤。只对流出的流量进行控制,对流入这个接口的流量不受影响。
四、访问控制列表的组成
- access-list后跟列表的编号。
- ACL列表由许多条目构成,每一个条目称为一个语句。
- ACL的每条语句由两部分内容,匹配的条件和执行的动作,既允许或者拒绝。
- ACL列表的语句是有顺序的,它的执行顺序从上往下,一一匹配。当一个条件被匹配后,就执行这个条件后面对应的动作,匹配的行为将不会向下继续执行。
- 如果一个条件也没有被匹配到,这个数据包默认会被丢弃。
- 如果是标准的ACL:匹配条件只能是源地址。
- 如果是扩展的ACL:匹配条件可以是源、目的地址,协议,端口号等等。
五、访问控制列表的标识
ACL的标识可以采用两种形式:命名或者编号。
如果采用编号的形式,编号范围在1-99,1300-1999属于标准ACL。
如果想定义一个扩展的ACL,编号范围在100-199,2000-2699。
六、ACL的配置
(一)标准ACL
1.配置介绍
定义一个ACL:
access-list 1 动作 源地址(条件)
access-list 1 deny|permit 192.168.1.0 通配符
Router(config)#
access-list access-list-number{
permit|deny}source[wildcard mask]
- ACL语句可以配置多条
- 编号选择1-99
- 通配符若无,默认0.0.0.0
- "no access-list access-list-number"将会删除整个ACL列表
- 每个标准ACL的语句结尾会有一条隐含的语句:
access-list 1 deny 所有
将ACL应用到接口上:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
