ACL
ACL Access list 访问控制列表(策略列表)
功能:
访问限制 --- 在路由流量仅或出的接口上匹配流量,之后对其进行控制。
抓取流量 --- 帮助其他策略抓出对应流量
ACL 的限制手段:拒绝 deny 允许 permit
分类:
标准ACL (2000 - 2999):通过源IP进行匹配。使用时尽量靠近目标,避免误伤。
扩展ACL (3000 - 3999):通过源目IP,源目端口号,协议号五个要素进行匹配,使用时尽量靠近源,不能在源之上。
ACL不能过滤自身产生的流量,只能对经过的流量进行操作。
匹配规则
自上而下逐一匹配,上条匹配到按上条执行,不再查看下一条。
Cisco 末尾隐含拒绝所有。(不写规则就执行默认 就全部拒绝)。rule peimit source any 修改为允许所有
华为 末尾隐含允许所有,部分设备拒绝所有。
配置方法
1 编号
acl 2000 创建编号为2000的acl
rule deny source 192.168.1.1 0.0.0.0 拒绝源IP为192.168.1.1 的流量 后四个0是通配符
规则 拒绝 源 IP地址 通配符
int g 0/0/0 进入接口
traffic-filte