目录
ACL:Access Control List,访问控制列表
ACL工作原理:+
• ACL由一条或多条规则组成
• 每条规则必须选择动作:允许或拒绝
• 每条规则都有一个 id 序列号(默认=5,间隔=5)• 序列号越小越先进行匹配
• 只要有一条规则和报文匹配,就停止查找,称为命中规则
• 查找完所有规则,如果没有符合条件的规则,称为未命中规则
• ACL创建后,必须将其应用到某个接口或其他技术内才会生效
• 应用在接口时必须选择方向:入站或出站(相对设备来判断)
• 每个接口在每个方向上只可应用一个ACL
• 不能过滤由设备自己产生的数据
ACL类型:分为数字型ACL和命名型ACL。
分类 | 编号范围 | 参数 |
基本ACL | 2000~2999 | 源IP地址等 |
高级ACL | 3000~3999 | 源IP地址、目的IP地址、端口号、目的端口等 |
二层ACL | 4000~4999 | 源MAC、目的MAC、以太网协议类型等 |
正掩码、反掩码、通配符区别:
名称 | 规则 | 作用 | 举例 | 备注 |
掩码 | 连续的1和0 | IP地址 | 255.255.255.0 | 1对应网络位,0对应主机位 |
反掩码 | 连续的1和0 | 路由协议 | 0.0.0.255 | 0必须匹配,1无须匹配 |
通配符 | 任意的1和0 | ACL | 0.0.255.0 | 0必须匹配,1无须匹配 |
配置举例
配置命令