一、访问控制列表的作用:
过滤:通过过滤经过路由器的数据包来管理IP流量
分类:标识流量以进行特殊处理
ACL在作用的时候有两个动作,即允许和拒绝。
允许或拒绝经过路由器的数据包
允许或拒绝来自路由器或到路由器的vty访问
如果没有ACL,所有数据包会发往网络的所有部分。
配置完以后一定要记得调用ACL的访问控制列表。
二、访问列表的分类:
*标准 检查源地址.通常允许、拒绝的是完整的协议
*扩展 检查源地址和目的地址、通常允许、拒绝的是某个特定的协议
*进方向和出方向
出方向 先查路由表,如果有去往目的网段的路由,就转到出接口,如果出接口调用了访问控制列表ACL,那么就看是否和ACL的访问控制列表匹配,是允许permit还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝就直接将数据包丢弃了。
入方向 当入接口收到数据包的时候,先跟入接口的ACL访问控制列表进行匹配,如果允许则查看路由表从而进行转发,如果拒绝则直接丢弃。
而在这个deny的机制中,有一条隐藏的deny所有报文的语句。也就是说,当接收到的数据包和前面所有的访问控制列表ACL都不匹配的时候,则就会触发这条隐藏的命令。
三、如何来标识ACL
标准编号IPV4列表(1-99)可测试源地址的所有IP数据包的条件。扩展范围是(1300-1999)
扩展编号IPV4列表(100-199)可测试源地址和目的地址、特定TCP/IP协议和目的端口条件。扩展范围(2000-2699)
命名ACL用字母数字字符串(名称)标识IP标准ACL和扩展ACL。
![439c5fcdbb662055e53dfd1916b52701.png](https://i-blog.csdnimg.cn/blog_migrate/3e27109f9814862290202e5109a16e5d.jpeg)
四、配置标准访问控制列表的命令:
标准访问控制列表可以用来匹配:
1用来匹配源地址和目标地址
2用来匹配远程登录
标准访问控制列表建议配在接近于目标的位置,因为如果配置在接近于源的目标的位置,那么发出来的报文就会立刻被deny掉了,而且数据包不仅发送不到目标位置,甚至连接近于源的目标位置以外的其他的路由器也发送不到了,都不可以访问了。所以标准访问控制列表一定要放在接近于目标的位置。