标准—Standard
表号:1-99或1300-1999
特点:只能基于源IP地址对包进行过滤!
3.2 扩展ACL
扩展—Extended
表号:100-199或2000-2699
特点:可以基于源IP地址、目标IP地址、目标端口号、协议等对包进行过滤!
四、ACL的过滤原理
4.1 飞哥配置ACL的小技巧
1)先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断ACL可以写在哪些路由器上!
2)打开那台路由器,开始编写ACL过滤规则!
3)最后将ACL表应用到某个接口的某个方向才能生效!
4.2 ACL的原理
1)ACL表配置完毕后,必须应用到接口的in或out方向上,才能生效!
2)一个接口的一个方向上只能应用一张表。
3)在所有ACL表的最后都有一条隐藏的拒绝所有条目(大boss) !
4)在匹配ACL时,是严格自上而下的匹配每一条的! 匹配成功,则完成动作,没匹配成功,则继续匹配下一条,如全部不匹配,则直接丢弃拒绝通过!(一定要注意书写的先后顺序!!)
5)标准ACL因为只能基于源IP对包进行过滤,so建议写在靠近目标端的地方!
6) 一个ACL编写完成后,默认情况下,不能删除某一条,也不能往中间插入新的条目,只能继续往最后追加新的条目!
4.3 ACL讲解原理过程图
五、ACL命令
5.1 标准ACL命令
conf t
access-list 表号 permit/deny 条