1. ACL简介
ACL(Access Control List)访问控制列表
ACL的两大主要功能
流量控制
匹配感兴趣流量
标准访问控制列表(Standard ACL)
只能根据源地址做过滤
针对整个协议采取相关动作(允许或禁止)
扩展访问控制列表(Extended ACL)
根据源、目的地地址、以及四层端口号等信息进行过滤
可以允许或拒绝特定的协议,针对具体的协议类型进行匹配,例如抓取TCP、UDP或者ICMP流量
2. ACL的操作
入方向的ACL的操作
出方向的ACL的操作
access-list x
语句1 匹配条件1 执行动作(允许/拒绝)
ACL的匹配:Deny or Permit
ACL的标示:
标准访问控制列表的配置
access-list 1 deny any
从上往下匹配,若匹配成功则跳出匹配循环,否则默认被丢弃。执行"no access-list access-list-number"将会删除整个ACL列表
扩展访问控制列表的配置
ACL不能对本地始发的流量做过滤,只能对穿越本地的路由器流量做过滤。
在某个接口的某个特定方向(in,out),针对某种协议,只能应用一个ACL
show access-list
命名访问控制列表的配置
TIPS
每个接口,每个方向,每种协议,只能设置1个ACL
组织好ACL的顺序,比如测试性的最好放在ACL的最顶部(自上而下匹配)
采用编号的方式定义ACL不能除去1行,除去1行意味将除去整个ACL,命名访问列表(named access lists)例外
默认ACL结尾语句是deny any,所以在ACL里至少要有1条permit语句
记得创建ACL后要把它应用在需要过滤的接口上
ACL是用于过滤经过router的数据包,并不会过滤router本身所产生的数据包
尽可能的把
IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方
来看看总能学到一点东西!