ACL----访问控制列表
是一种策略
ACL原理
配置了ACL的网络设备,会根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然
后对流量进行预定义的动作处理。
ACL功能
访问控制
在设备上的流入或流出方向上,匹配流量,然后执行动作
允许/拒绝
抓取流量
ACL经常会跟其他协议共同使用,当与其他协议共同使用时,ACL
一般仅作流量匹配,对应动作又其他协议完成防火墙、路由策略、
QoS
ACL
的匹配规则
自上而下,逐一匹配;匹配成功,则直接按该条目执行,不继续向下匹配。
若都没有匹配上,则执行默认规则
思科设备ACL访问控制列表末尾隐含条件:拒绝所有流量
华为设备ACL访问控制列表末尾隐含条件:允许所有流量
ACL
分类
基本
ACL
只能基于IP报文的源
IP
地址、报文分片和时间段来定义规则
编号:2000-2999(规则编号:用于区分不同的规则列表)
高级
ACL
基于IP报文的源
IP
、目的
IP
、协议字段、
IP
报文的优先级、报文长度、传输层的源目端口 号等信息来规定
编号:3000-3999
二层
ACL
使用报文的以太网帧信息来定义规则
编号:4000-4999
用户自定义
ACL
IP报文、TCP
报文、
ICMP
、端口号、
MAC
编号:5000-5999
需求一
PC1
可以访问
192.168.2.0/24
网段,
PC2
不行
分析
仅对源有要求,配置基本ACL即可配置原则
由于基本ACL仅关注源IP地址,故配置时尽量靠近目标,避免对其他地址访