访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
两种类型
标准ACL:检查源地址,,通常允许或拒绝的是完整的协议。
扩展ACL:检查源地址和目的地址,通常允许或拒绝的是某个特定的协议。
两个方向
in:进站
out:出站
标准ACL通常应用到离目标最近的端口,方向为out。
扩展ACL通常应用到离源最近的端口,方向为in。
两个动作
deny:拒绝
permit:允许
两种命名方式
名称命名:
standard
extended
编号命名:
标准ACL:1~99
扩展ACL:100~199,2000~2699
默认拒绝
默认拒绝所有,所以配置拒绝条目后,必须要配置被允许的条目。
执行顺序
从上至下,一旦匹配,不再往下执行。