1**)知识点列举**
1.ACL的概念
2.ACL的组成
3.ACL的作用与应用
4.ACL的分类
5.ACL的匹配规则
6.注意点
7.相关命令
2**)学习流程**
1.ACL**的概念**
访问控制列表(Access Control List),由一条或多条规则组成的集合,是有序的规则列表
2.ACL**的组成**
由标识+规则组成,每条规则由permit/deny语句组成
标识:使用数字或者名称来标识ACL
规则:描述匹配条件的判断语句
{
规则编号:用于标识ACL规则,所有规则均按照规则编号从小到大进行排序
华为默认步长为5,思科默认步长10
动作:包括permit/deny两种动作,表示设备所匹配的数据包接收或者丢弃
匹配项:ACL定义了及其丰富的匹配项,包括生效时间段,IP协议(ICMP,TCP,UDP),源/目的
地址 以及相应的端口号(21,23,80等)
【通配符:由比特流0和1组成,0表示严格匹配,1表示不匹配,可用于匹配单双路由】
}
3.ACL**的作用与应用**
作用:①提供安全访问 ②防止网络攻击 ③提高网络带宽利用率
应用:①在traffic-filter中被调用 ②在防火墙策略部署中被调用 ③在路由策略中被调用 ④在nat中被调用
4.ACL**的分类**
①基于编号范围
华为:
接口ACL(1000-1999):根据报文的入接口来定义规则
基本ACL(2000-2999):使用报文的源IP地址来定义规则
高级ACL(3000-3999):使用报文的源IP、目的IP、IP协议类型、ICMP类型、TCP(UDP)源/目的
端口 号等等来定义规则
二层ACL(4000-4999):基于MAC地址来定义规则
自定义ACL(5000-5999)
用户ACL(6000-6999)
思科:
标准ACL(1-99):使用报文的源IP地址来定义规则
扩展ACL(100-199):使用报文的源IP、目的IP、IP协议类型、ICMP类型、TCP(UDP)源/目的端口
号等等来定义规则
命名ACL:基于标准ACL和扩展ACL的一种可以定制的ACL
②基于标识
数字型ACL:传统的标识方法,使用不同的数字标识不同类型的ACL
名称型ACL:使用字符标识ACL,就像用域名代替IP地址一样,更加方便记忆
5.ACL**的匹配规则**
①ACL的匹配顺序是自上而下的(步长越小越优先)
②一旦满足匹配条件 ---> 跳出查询
③基本(标准)ACL放在离目的更近的地方,高级(扩展)ACL放在离源更近的地方
④访问控制列表最后有一条隐藏规则
华为:rule xxxx permit 0.0.0.0 255.255.255.255 //允许所有
(虚拟链路vty和IPSec策略中调用ACL最后一条拒绝所有)
思科:rule xxxx deny 0.0.0.0 255.255.255.255 //拒绝所有
⑤**ACL只过滤经过本地的数据包,不能过滤本地产生或者目的是本地的数据包**
6.**注意点**
①ACL只有在接口调用后才能生效,接口既可以是二层接口也可以是三层接口
②思科的所有设备都支持SVI接口调用ACL,华为只有少部分设备支持vlanif接口调用ACL,华为模拟器不支 持vlanif接口调用ACL
③每个设备接口各个方向的ACL只能调用一个,同一个方向上只能调用一个ACL
④先匹配入站方向的ACL,匹配后进行转发,转发出去的时候再匹配出站方向的ACL
⑤拒绝多:前几条写允许规则,最后再拒绝所有;允许多:前几条写拒绝规则,最后再允许所有