访问控制列表(ACL)是网络设备中用于过滤流量的重要工具。它由多条规则组成,每条规则指定允许或拒绝,并按序列号顺序匹配。ACL分为数字型和命名型,分别用于不同级别的过滤需求。正掩码、反掩码和通配符在定义规则时各有用途。配置ACL时,需要指定规则、应用方向并确保应用到接口。配置示例包括基本和高级ACL的命令,强调了ACL创建和应用的步骤。
目录
ACL:Access Control List,访问控制列表
ACL工作原理:+
• ACL由一条或多条规则组成
• 每条规则必须选择动作:允许或拒绝
• 每条规则都有一个 id 序列号(默认=5,间隔=5)• 序列号越小越先进行匹配
• 只要有一条规则和报文匹配,就停止查找,称为命中规则
• 查找完所有规则,如果没有符合条件的规则,称为未命中规则
• ACL创建后,必须将其应用到某个接口或其他技术内才会生效
• 应用在接口时必须选择方向:入站或出站(相对设备来判断)
• 每个接口在每个方向上只可应用一个ACL
• 不能过滤由设备自己产生的数据
ACL类型:分为数字型ACL和命名型ACL。
| 分类 | 编号范围 | 参数 |
| 基本ACL | 2000~2999 | 源IP地址等 |
| 高级ACL | 3000~3999 | 源IP地址、目的IP地址、端口号、目的端口等 |
| 二层ACL | 4000~4999 | 源MAC、目的MAC、以太网协议类型等 |
正掩码、反掩码、通配符区别:
| 名称 | 规则 | 作用 | 举例 | 备注 |
| 掩码 | 连续的1和0 | IP地址 | 255.255.255.0 | 1对应网络位,0对应主机位 |
| 反掩码 | 连续的1和0 | 路由协议 | 0.0.0.255 | 0必须匹配,1无须匹配 |
| 通配符 | 任意的1和0 | ACL | 0.0.255.0 | 0必须匹配,1无须匹配 |
配置举例
配置命令
扫一扫
6474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
