知识点:
简介:
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议(被路由协议是一些用于定义数据报内字段格式并且为用户的通讯传输提供一种机制的协议(也就是打包),如IP、IPX、AppleTalk等。路由协议则负责运输。例如ospf、IGRP)
功能:
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。
ACL分类:
目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。
标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。
ACL配置位置:
标准ACL要尽量靠近目的端。扩展ACL要尽量靠近源端。
命令配置顺序:
ACL语句会按照先后顺序执行。一个包只要遇到一条匹配的ACL语句后就会停止后续语句的执行。
比如你想deny 源是192.168.1.1 目的是192.168.2.1的主机流量,如果先写access-list 100 permit ip any any (允许任何流量通过)
再写access-list 100 deny ip host 192.168.1.1 host 192.168.2.1
那么第二条是没有效果的,因为第一条已经放行了所有的流量