一、ACL功能
ACL--访问控制列表,用于数据流的匹配和筛选
功能:
访问控制:ACL+Packet-filter(包过滤)
路由控制:ACL+Route-policy(路由策略)
流量控制:ACL+QOS(服务质量)
二、ACL组成
组成:由若干条permit或deny语句组成,每条语句就是一条规则
语句形式:rule permit source 192.168.1.0 0.0.0.255
rule deny source 172.16.0.0 0.0.255.255
手动指定:0、1、2、3、4、5……
自动生成:5、10、15…… 5的倍数
通配符:哪些位需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配
三、ACL分类
基本ACL:只关心报文的源地址,2000-2999
高级ACL:对数据包的五元组(源IP、目的IP、源端口、目的端口、协议类型)进行检查,编号3000-
3999
二层ACL:检查二层帧的头部信息,源MAC\目的MAC\二层协议类型等等,编号4000-4999
用户自定义ACL:使用报文头部、字符串掩码和用户自定义字符串来定义规则。编号5000-5999
四、匹配机制
包过滤方向:
出方向:数据流出的方向
入方向:数据流入的方向
注:包过滤必须配置在接口某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略
建议:在不影响实际效果的前提下,包过滤尽量配置在离源地址最近的接口的入方向