1、什么是ACL?------access control list ------访问控制列表。
作用:流量过滤
包过滤-----根据事先设定的规则,逐个包检查。
功能:只允许数据包转发还是丢弃(允许数据包过,还是不过的问题)
2、ACL使用范围:
ACL的检查对象来决定
(1)检查3层(源IP、目的IP、协议号)
(2)检查4层(源端口、目的端口)
5元组(源IP、目的IP、协议号、源端口、目的端口)
3、ACL可以执行的策略:
(1)permit-----允许
(2)deny-------拒绝
4、ACL的种类
(1)标准ACL(命令很短,设计出来的简单的功能)
只能抓源IP
(2)高级ACL
能抓所有的参数(5元组)
(3)如何来区分标准还是扩展呢?通过列表号来区分
标准ACL------2000~2999
扩展ACL------3000~3999
5、ACL配置
1)标准ACL
全局模式下:
(1)建立alc
alc 列表号(2000~2999 )
rule 序号(可以省略) deny/permit 源IP地址 源通配符掩码-----建立ACL语句
端口模式下:
(2)traffic-filter inbound / outbound (方向)----------------------把该列表放入相应的端口
2)扩展ACL
rule 序号(可以省略) deny/permit ip/tcp/udp(三层或者四层协议) 源地址 源通配符掩码 (源端口号 eq /gt/lt 端口号) 目的地址 目的通配符掩码 目的端口号 eq /gt/lt端口号
6、ACL配置的注意点:
(1)、ACL必须接口调用才能生效
(2)、所有的ACL最后都有一条隐藏语句
permit any
(3)、ACL列表执行顺序---看序列号
display acl all
4)、一个协议在一个接口的一个方向上只能调用一条列表