ACL:Access Control LIst
1.ACL是一种包过滤技术
2.ACL基于IP包头和IP地址,四层TCP/UDP包头的端口号,基于三层和四层过滤
3.ACL在路由器上配置,也可以在防火墙上配置(一般称为策略)
4.ACL主要分为2大类:标准ACL和扩展ACL
5.标准ACL:
表号:1-99
特点:只能基于源IP对包进行过滤
命令:conf t
access-list 表号 permit/deny 源IP或源IP网段 反子网掩码
反子网掩码作用:用来匹配,与0对于的需要严格匹配,与1对应的忽略。
查看:show ip accesss-list [表号]
应用:int f0/x
ip access-group 表号 in/out
exit
6.扩展ACL:
表号:100-199
特点:可以基于IP,目标IP,端口号,协议等对包继续过滤
命令:acc 100 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]
协议:TCP/UDP/ICMP/IP
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
7.ACL原理
(1)ACL表必须应用到接口的进或出方向才生效
(2)一个接口的一个方向只能应用一张表
(3)进还是出方向应用,取决于流量控制的总方向性
(4)ACL表是严格自上而下检查每一条,所有要注意书写顺序
(5)每一条是由条件和动作组成,当某流量没有满足条件,则继续检查下一条
(6)标准ACL尽量写在靠近目标IP的地方
(7)一般情况下,标准或扩展ACL表一旦写成,无法修改,也无法删除某条,只能删除表重写。