ACL(Access Control List):访问控制列表,它主要通过读取第三、四层的包头信息,再通过预定义好的规则进行匹配过滤,以达到访问控制的目的。大部分的路由交换系统中都集成了ACL功能。以下分别以思科和华为设备为例记录简单的ACL基础知识及命令配置。
#思科
ACL的分类:
1.标准访问控制列表
表号:1-99
特点:基于源IP来进行匹配过滤
2.扩展访问控制列表
表号:100-199
特点:基于源IP、目的IP、端口号、协议类型进行匹配过滤
3.命名访问控制列表
表号:无
特点:利用名称来定义ACL条目,使条目的含义看上去更直观,淡化了标准和扩展的界限
ACL的规则:
1.ACL匹配顺序是至上而下
2.ACL在应用中应把具体的条目放在最前面
3.一张ACL表中至少要有一条Permit
4.标准ACL应放在离目的地近的地方、扩展ACL放在离源近的地方
5.标准ACL和扩展ACL删除条目时、不能单独删除某一个条目,只能针对整张表进行删除
6.每一个接口的一个方向上只能应用一张ACL
7.ACL配置完成后需要调用才能生效,可以直接在接口下,也可以配合路由映射图
8.每张ACL中都有一条隐含Deny
ACL的简单配置命令:
Router(config)#access-list 1 permit 12.1.1.2 0.0.0.0
Router(config)#access-list 100 permit tcp host 12.1.1.2 host 34.1.1.4