1、ACL介绍
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。
2、ACL分类
(1)基本ACL:ACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;
(2)高级ACL:ACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
(3)二层ACL:ACL编号4000-4999,使用报文的以太网帧头信息,如源MAC地址、目的MAC地址、二层协议类型等来定义规则;
(4)用户自定义ACL:ACL编号5000-5999,使用报文头、偏移位置、字符串掩码、用户自定义字符串来定义规则;
(5)用户ACL:ACL编号6000-6999,可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端口来定义规则;
3、ACL inbound和outbound
1、INBOUND:inbound是对入方向的报文(进入设备接口)的报文进行处理。
翻译:本地VLANIF下的流量访问其他目的地址的流量。
例如:
interface Vlan-interface10
ip address 10.10.10.254 255.255.255.0
packet-filter name RD inbound
rule 10 permit ip source 10.10.10.0 0.0.0.255 destination 192.168.12.12 0
rule 20 deny ip
2、OUTBOUND:outbound是对出方向的报文(从设备接口发出)的报文进行处理。
翻译:其他源地址访问到本地VLANIF下的流量。
例如:
interface Vlan-interface20
ip address 10.10.20.254 255.255.255.0
packet-filter name Server outbound
rule 10 permit tcp source 192.168.13.13 0 destination 10.10.20.10 0
rule 20 deny ip