ACL原理与配置
ACL是有一系列permit(允许)或deny(拒绝)语句组成的、有序规则的列表
ACL是一个匹配工具,能够对报文进行匹配和区分
ACL可以对网络中的报文流的精确识别匹配,与其他技术结合,达到控制网络访问行为,防止网络攻击和提高网络宽带利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性
ACL的组成
由若干条permit或deny语句组成,每条语句就是该ACL的一条规则,每条语句中的permit或deny就是这条规则对应的处理动作
规则编号
规则编号默认步长为5,步长的作用是为了方便后续在旧规则之间插入新规则
通配符
子网掩码:配置IP地址是配子网掩码,从左到右连续的1
反掩码:OSPF配置会用到反掩码,0代表固定网络位,1代表不匹配,反掩码的0和1也是连续的从左到右的,只是和正掩码反过来而已
通配符掩码:ACL会使用通配符掩码,0代表匹配,这一个对应的bit需要固定,1代表不匹配,0和1可以不连续,和子网掩码毫无关系,不具备划分网络位主机位的能力,只是用来匹配
例:
192.268.1.0/24 匹配所有的奇数网段=>0.0.254.255
192.168.0.0/24 匹配所有的偶数网段=>0.0.254.255
报文匹配规则后立即按照规则的动作进行处理,不在继续向下匹配其它规则
匹配地址bit较多的尽量使用较小的规则号
ACL的分类与标识