ACL 控制访问列表

ACL:访问控制列表
作用：
    1、在流量转发的接口限制流量的进或出；
    2、为其他策略定义感兴趣流量；

当数据包流量经过路由器接口进或出时，ACL可以匹配流量产生动作——允许  拒绝；
匹配规则：
自上而下逐一匹配，上条匹配按上条执行，不再查看下一条；
cisco系在表格末尾隐含拒绝所有；
华为系在表格末尾隐含允许所有；

配置命令：
    1、标准ACL
由于标准ACL仅关注数据包中源ip地址，故调用时，应该尽量的靠近目标，以免误删流量。
编号2000-2999均为标准列表，一台设备上可以创建多张表格，但一个接口的一个方向上只能调用一张表格。
[R]ACL 2000
[R]rule deny source 192.168.1.1 0.0.0.0
[R]        permit
在编辑acl规则时，需要清楚定义动作——允许或拒绝，使用通配符精确设置范围

默认以5为步调，自动添加序号，便于插入和删除
[R]undo rule 2

规则编写完成后，必须在接口调用后方可生效；
[R]interface g0/0/0
[R]traffic-filter outbound acl 2000    出口
                         inbound                       入口

    2、扩展acl
由于扩展acl精确匹配流量源、目标地址，故调用时尽量靠近源头，避免资源浪费；
1）关注数据包中的源、目标ip地址；

[R]acl 3000
[R]rule deny source 192.168.1.1 0.0.0.0 destination 192.168.2.1 0.0.0.0
[R]interface g0/0/0
[R]traffic-filter outbound acl 3000

2)关注数据包中的源、目标ip地址，以及目标端口号；
[R]acl 3000
[R]rule deny TCP source 192.168.1.1 0.0.0.0    destination 192.168.2. 1 destination-port eq 23