CCNA学习笔记十一——ACL访问控制列表

1. ACL简介

ACL(Access Control List)访问控制列表

  • ACL的两大主要功能

    1. 流量控制

    2. 匹配感兴趣流量

标准访问控制列表(Standard ACL)
  • 只能根据源地址做过滤

  • 针对整个协议采取相关动作(允许或禁止)

扩展访问控制列表(Extended ACL)
  • 根据源、目的地地址、以及四层端口号等信息进行过滤

  • 可以允许或拒绝特定的协议,针对具体的协议类型进行匹配,例如抓取TCP、UDP或者ICMP流量

                                           

2. ACL的操作

  • 入方向的ACL的操作

  • 出方向的ACL的操作

    access-list x

语句1 匹配条件1 执行动作(允许/拒绝)

ACL的匹配:Deny or Permit

ACL的标示:

  • 标准访问控制列表的配置

    access-list 1 deny any

从上往下匹配,若匹配成功则跳出匹配循环,否则默认被丢弃。执行"no access-list access-list-number"将会删除整个ACL列表

  • 扩展访问控制列表的配置

ACL不能对本地始发的流量做过滤,只能对穿越本地的路由器流量做过滤。

在某个接口的某个特定方向(in,out),针对某种协议,只能应用一个ACL

show access-list

命名访问控制列表的配置

TIPS

  1. 每个接口,每个方向,每种协议,只能设置1个ACL

  2. 组织好ACL的顺序,比如测试性的最好放在ACL的最顶部(自上而下匹配)

  3. 采用编号的方式定义ACL不能除去1行,除去1行意味将除去整个ACL,命名访问列表(named access lists)例外

  4. 默认ACL结尾语句是deny any,所以在ACL里至少要有1条permit语句

  5. 记得创建ACL后要把它应用在需要过滤的接口上

  6. ACL是用于过滤经过router的数据包,并不会过滤router本身所产生的数据包

  7. 尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方




anzhihe 安志合个人博客,版权所有 丨 如未注明,均为原创 丨 转载请注明转自:https://chegva.com/2328.html | ☆★★每天进步一点点,加油!★★☆ | 

您可能还感兴趣的文章!

1 评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注