一、ACL基本概念
1、ACL 全称:Access Control List
2、ACL是一种包过滤技术。
3、APL是基于IP包头的IP地址、四层TCP/UDP头部的端口号、[五层数据]。 (基于三层和四层顾虑)
4、ACL在路由器上配置,也可以在防火墙上配置(防火墙上一般称为策略)。
二、ACL分类:
ACL分为 标准ACL 和 扩展ACL
1、标准ACL:
表号:1 — 99
特点:只能基于源IP对包进行过滤。
2、扩展ACL:
表号:100 — 199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤。
三、ACL原理:
1、ACL表必须应用到接口的进或出方向才能生效;
2、一个接口的一个方向只能应用一张表;
3、进还是出方向应用?取决于流量控制的总方向;
4、ACL表是严格自上而下检查每一条,所以要注意书写顺序;
5、每一条是由条件和动作组成的,当流量完全满足条件时,执行动作,当某流量没有满足某条件时,则继续检查下一条;
6、标准ACL尽量写在靠近目标的地方
经验总结:
1)做流量控制,首先要先判断ACL写的位置(哪个路由器?哪个接口的那个方向?);
2)再考虑怎么写ACL;
3)怎么写。
四、命令:
1、标准ACL:
config terminal
access-list 表号 permit/deny 源IP或原网段 反子网掩码
注释:反子网掩码:将正子网掩码的0和1倒置。如:255.0.0.0 --> 0.255.255.255
发子网掩码的作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!
例如:access-list 1 deny 10.0.0.0 0.255.255.255 该条目用来拒绝所有源IP为10开头的。
access-list 1 deny 10.1.1.1 0.0.0.0 该条目用来拒绝所有源IP为10.1.1.1的主机。
可简写为:access-list 1 deny host 10.1.1.1
access-list 1 deny 0.0.0.0 255.255.255.255 该条目用来拒绝所有人
可简写为:access-list 1 deny any
2、扩展ACL:
来源:https://www.cnblogs.com/qvpenglou/p/12573778.html