四、ACL
1、ACL(访问控制列表,Access Control List)
可以定义一系列不同的规则,设备根据这些规则对数据包进行分类 ,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等待。
2、ACL分类
分类 |
编号范围 |
参数 |
基本ACL |
2000-2999 |
源IP地址等 |
高级ACL |
3000-3999 |
源IP地址、目的IP地址、源端口、目的端口等 |
二层ACL |
4000-4999 |
源MAC地址、目的MAC地址、以太帧协议类型等 |
3、基本ACL
每个ACL可以包含多个规则,不匹配第一条,则比对第二条 ,依次类推,都不满足,则正常转发。
acl 2000
rule 5 deny source 192.168.1.0 0.0.0.255
其中"0.0.0.255"为通配符掩码,俗称反掩码,0代表匹配项,1代表不关心项。
rule 10 deny source 192.168.2.0 0.0.0.255
rule 15 deny source 172.16.0.0 0.0.0.255
interface g0/0/0
traffice-filter outbound acl 2000 在端口的出方向调用ACL 2000
dis acl 2000
dis traffic-filter applied-record
4、高级ACL配置
acl 3000
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21
rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 172.16.10.2 0.0.0.0
rule permit ip 放行所有流量
int g0/0/0
traffic-filter outbound acl 3000
配置示例1:
拓扑图: