ACL:访问控制列表
作用:
1、在流量转发的接口限制流量的进或出;
2、为其他策略定义感兴趣流量;
当数据包流量经过路由器接口进或出时,ACL可以匹配流量产生动作——允许 拒绝;
匹配规则:
自上而下逐一匹配,上条匹配按上条执行,不再查看下一条;
cisco系在表格末尾隐含拒绝所有;
华为系在表格末尾隐含允许所有;
配置命令:
1、标准ACL
由于标准ACL仅关注数据包中源ip地址,故调用时,应该尽量的靠近目标,以免误删流量。
编号2000-2999均为标准列表,一台设备上可以创建多张表格,但一个接口的一个方向上只能调用一张表格。
[R]ACL 2000
[R]rule deny source 192.168.1.1 0.0.0.0
[R] permit
在编辑acl规则时,需要清楚定义动作——允许或拒绝,使用通配符精确设置范围
默认以5为步调,自动添加序号,便于插入和删除
[R]undo rule 2
规则编写完成后,必须在接口调用后方可生效;
[R]interface g0/0/0
[R]traffic-filter outbound acl 2000 出口
inbound 入口
2、扩展acl
由于扩展acl精确匹配流量源、目标地址,故调用时尽量靠近源头,避免资源浪费;
1)关注数据包中的源、目标ip地址;
[R]acl 3000
[R]rule deny source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0
[R]interface g0/0/0
[R]traffic-filter outbound acl 3000
2)关注数据包中的源、目标ip地址,以及目标端口号;
[R]acl 3000
[R]rule deny TCP source 192.168.1.1 0.0.0.0 destination 192.168.2. 1 destination-port eq 23