技术背景
访问控制列表在接口应用的方向
- 出:已经过路由器的处理,正离开路由器接口的数据包
- 入:已到达路由器接口的数据包,将被路由器处理
三种不同的ACL
基本ACL 2000 ~ 2999 只匹配源IP
尽量靠近目的的点
高级ACL 3000 ~ 3999 只匹配源目IP和端口、三四层协议等
尽量靠近源点(保护带宽和其他资源)
二层ACL 4000 ~ 4999 只匹配源MAC 802.19优先
应用规则
一个接口同一方向只能调用一个ACL
一个ACL可以有多个rule
按ruleID从小到大排序 从上往下匹配
用作数据包访问控制时,默认隐含放通所有
ACL配置指令
acl 2000
//创建一个基础ACL
[acl-basic-2000]rule [5] deny source [IP] [反掩码]
//添加一条拒绝某IP的规则 deny/permit
/* 数字5是ruleID,可选项 */
[acl-basic-2000]rule deny
//添加一条禁止所有访问源
/* 此时这条禁止规则的ID为10 */
acl 3000
//创建一个高级ACL
[acl-adv-3000]rule deny [协议,如:“ICMP”] soure [IP/IP网段] [反掩码] destination [目的IP] [反掩码]
//禁止某IP或者某网段使用ICMP协议相关指令,如Ping,目的IP
[acl-adv-3000]rule deny [TCP] soure [IP/IP网段] [反掩码] destination [目的IP] [反掩码] destination-port eq www
//此处www可替换为80或指定端口
[SW1-Ethernet0/0/1]traffic-filter [outbound/inbound] acl [aclID]
//接口绑定访问控制策略 outbound 出口 inbound 进口