概述
访问控制列表ACL (Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤) , ACL只是一个匹配用的工具;
ACL除了能够对报文进行匹配,还能够用于匹配路由;
ACL是一个使用非常广泛的基础性工具,能够被各种应用或命令所调用。
ACL的应用
- 匹配IP流量(可基于源、目的IP地址、协议类型、端口号等元素)
- 在Traffic-filter中被调用
- 在NAT中被调用
- 在路由器由策划中被调用
- 在IPSec VPN中被调用
- 在防火墙的策略部署中被调用
- 在QoS中被调用
- 其他…
作用
(1)、ACL可限制网络流量、提高网络性能; 例如: ACL根据数据包协议,指定数据包的优先级。
(2)、对通信流量提供控制手段;
(3)、网络安全,如ACL允许主机A访问销售部,而拒绝主机B访问;
(4)、ACL决定路由器端口处哪种类型的通信流量被转发或阻塞。
如何标识ACL
-
利用数字标识ACL
-
利用名称标识ACL
列表的种类 数字标识范围 Basic(基本) ACL 2000~2999 Advanced(高级) ACL 3000~3999 二层ACL 4000~4999 自定义ACL 5000~5999
ACL的分类
- 基本访问控制列表
只能够对IP头中的源IP地址进行配置
- 高级访问控制列表
能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配
ACL的配置
配置思路:
①在路由器上配置两个端口,设置好ip地址
②配置好主机的ip/子网掩码/网关
③在路由器上添加一条访问控制权限,基本acl 2000
④把这条acl限制规则应用到g0/0/1的端口上(可以称作监听端口)