ACL(访问控制列表 Access control List)
优点:控制网络访问,限制网络流量,提高网络性能,防止网络攻击等
原理:
ACL通过定义规则允许或拒绝流量通过
ACL根据需求定义过滤的条件及匹配条件后所执行的动作。匹配,执行动作;不匹配,不执行
ACL分类:
每个ACL可包含多个规则,路由据规则过滤流量,逐条匹配,直到最后都匹配不上,丢弃
ACL也可用在NAT上
ACL基础配置
基本ACL
【设备】ACL 编号 //2000-2999
【设备-acl】rule (序号)deny source 地址 反掩码//允许,默认序号间隔5个
【设备-acl】rule (序号)permit source 地址 反掩码//拒绝
【设备-端口】traffic-filter outbound acl 编号 //应用在端口上
【设备】diap acl 编号 //查看acl设置
【设备】diap traffic-filter applicd-record //查看端口规则
高级ACL
【设备】ACL 编号 //3000—3999
【设备】rule deny tcp source 地址 反掩码 destination 地址 反掩码 destination-port eq 目的端口号
【设备】rule 序号 permit ip //允许所有IP报文
ps.关于反掩码:
eg.192.168.1.0/26
掩码:255.255.255.192
掩码扩展为:1111 1111.1111 1111.1111 1111.1100 0000
反掩码扩展:0000 0000.0000 0000.0000 0000.0011 1111
反掩码:0.0.0.63