为什么使用ACL?
2.过滤: 过滤流经路由器的报文来管理IP流量
1.分类: 识别流量以便进行后续的特殊处理
ACL的应用: 过滤
允许(Permit)或拒绝(Deny)流经路由器的报文。
允许或拒绝通过vty线路访问路由器。
若没有使用ACL,报文将能够被传输到网络中的任何部分。
ACL应用: 分类
利用ACL分类流量以便进行特殊的处理
ACL的类型:
标准ACL:
– 检查源地址 (目的默认被设为any不显示出来)
– 允许或拒绝整个协议族
扩展ACL :
– 检查源和目标地址
– 允许或拒绝指定的协议和应用
标识标准和扩展ACL的2种方法:
– 编号ACL采用数字来识别不同的ACL (1~99标准型,100-199扩展型)
– 命名ACL使用描述性的名称或数字来识别不同的ACL,命令 ACL也分标准和扩展
ACL配置指南
可以使用标准或扩展ACL。
在一个接口上,每个方向(入或出)针对每个协议只允许使用一个ACL。
ACL语句的顺序将影响规则检查的次序,因此通常将最详细的规则放 在ACL列表的前面。
ACL隐含的规则是拒绝所有,因此每个ACL列表中至少应该包含一个 permit的语句。
ACL是在全局配置模式下创建,并且应用在接口上来过滤入口或出口 流量。
在网络中部署ACL时:
– 将扩展ACL放置在接近源的位置
– 将标准ACL放置在接近目标的位置
通配符:
0表示对应位置的取值必须匹配
1表示忽略对应位置的取值
正好与子网掩码相反
总结
ACL可以用来过滤IP报文或者用来匹配流量以便进行特殊处理。
ACL规则从上至下进行检测,应用在接口上能够过滤入口或出口流 量。
你可以创建命名或编号ACL,根据不同的需求,可以创建标准或扩 展的ACL。
基于时间的ACL能够根据时间来进行报文的过滤。
在通配符中,0表示必须与所对应的IP地址的比特的取值相同,而1 表示该比特可任意取值(即0或1均可) 。
5076
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
