ACL访问控制列表(Access Control List,ACL)
是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
- 访问控制–在路由器上流量进或出的接口上规则流量;
- 定义感兴趣流量–为其他的策略匹配流量;
访问控制
- 定义ACL列表后,将列表调用与路由器的接口上,当流量通过接口时,进行匹配,匹配成功后按照设定好的动作进行处理即可–动作–允许,拒绝
匹配规则
- 至上而下注意匹配,上调匹配按上条执行,不在查看下条;末尾隐含拒绝所有;
- 注意:每个 ACL 的末尾都会自动插入一条隐含的 deny 语句,虽然ACL中看不到这条语句,它仍起作用。隐含的 deny 语句会阻止所有流量,以防不受欢迎的流量意外进入网络。在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。
定义规范
-
ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号,那么就会出错误。
-
一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。