ACL(Access Control list,访问控制列表)一般用来进行流量过滤和流量分类。
1.过滤
就是对数据包流量进行过滤,包含了防火墙的功能(应用到三层网络层),商业级的防火墙一般都需要能应用到网络上面的应用层。
过滤的两个动作: permit(允许)、deny (拒绝)
ACL做过滤时都是绑定在交换机或路由器的接口(Interface)上,其中需要注意:一个接口(Interface)上最多配置2个ACL,一个接口(Interface)单方向上最多配置一个ACL。
ACL如果用于分类则无需绑定接口。
2. 分类
也就是流量分类,不进行包过滤,仅仅对流量进行分类识别,应用场景比较广泛。分类主要用于做策略,结合其他协议和技术去完成特定的功能。
3. ACL 规则
一个ACL可以配置多个规则条目,匹配置时将按照顺序匹配,一旦匹配到其中一个规则条目,就会根据这一条目的规则进行处理(丢弃或转发),将不会继续向下进行匹配。
注意:当所有的条目都不匹配时,ACL有一条隐含的条目规则,即丢弃数据包。如果应用场景不能丢弃,则需要手动配置一条permit的条目规则。
其实ACL既可以用来做过滤,也可以拿来做分类。