ACL主要分类:
1、基本ACL(basic):1-99,2000-2999 一般使用别名来增强我们的阅读性
2、高级ACL(advance):100-199,3000-3999
3、inbound(进站)、outbound(出站)
ps:思科in out、inside outside
4、两个动作:permit(允许)、deny(拒绝)
配置步骤:
1、创建列表[AR1]acl name AAA-ACL basic/advnce
2、在ACL的配置视图中添加规则条目以rule开头
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 deny source 192.168.0.0 0.0.255.255
隐藏属性:rule deny/rule permit
ps:思科所有设备的ACL列表最后一条隐藏了拒绝所有
3、将创建好的ACL应用到该用的地方
4、验证:display acl all ##查看本机中ACL列表的使用情况
由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
1、对网络访问行为的控制
2、限制网络流量
3、提高网络性能
4、防止网络攻击
应用场景:
1、允许或拒绝流量的通过、在防火墙中使用ACL
2、在路由中使用ACL过滤路由信息。作为路由选择工具,可以提取路由表,在路由协议中做路由的过滤或者在route-policy中调用(NP内容)
3、在QoS(服务质量)中使用ACL进行流分类。通过ACL实现QoS的复杂流分类(NP内容)
4、在IPSec中使用ACL
ACL分类:
IPv4:
基本ACL:编号:2000~2999 (1~99、思科等设备使用 华为不使用)可以对IPv4报文的源IP地址、VPN实例、分片标记和时间段信息定义规则。
高级ACL:编号3000~3999 (100~199思科等设备使用 华为不使用) 既可以使用IPv4报文的源地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口邓来定义规则
二层ACL:编号4000~4999 可根据报文的以太网帧头信息来定义规则,如根源MAC地址、目的MAC地址、以太帧协议类型等
用户ACL:编号6000~6031 既可使用IPv4报文的源IP地址、也可使用目的地址、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口等来定义规则
IPv6:
基本ACL6:编号2000~2999 可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则
二层ACL6:编号4000~4999 可根据报文的以太网帧头信息来定义规则、如根据源MAC地址、目的MAC地址、以太帧协议类型等
高级ACL6:编号3000~3999 可以使用IPv6报文的源IP地址、目的地址、IP承载的协议类型、针对协议的特性(例如TCP的源端口、目的端口、ICMPv6协议类型、ICMPv6 Code)等内容定义规则
命名:可以为ACL指定一个名称,名称也可以确定唯一的ACL
ACL的规则: