ACL基础

简介

  • 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
  • ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

为什么要用ACL

  • ACL的两大主要功能
  • 流量控制
  • 匹配感兴趣流量

ACL的类型

标准访问控制列表

  • 检查源地址
  • 通常允许或拒绝整个协议套件

扩展访问控制列表

  • 检查源地址和目标地址
  • 通常允许或拒绝特定的协议和应用

用于识别标准ACL和扩展ACL的两种方法

  • 编号ACL使用一个数字来识别
  • 命名ACL使用描述性名称或数字来标识

标准访问控制列表

  • 只能根据源地址做过滤
  • 针对整个协议采取相关动作(允许或禁止)

扩展访问控制列表

  • 能根据源、目的地地址、端口号等等进行过滤
  • 能允许或拒绝特定的协议

ACL的标示

IPv4 ACL

出站及入站

入方向的ACL操作

出方向的ACL操作

通配符

  • 0 表示严格匹配
  • 1 表示无所谓

通配符缩写

192.168.1.1 0.0.0.0 = host 192.168.1.1

  • 精确匹配192.16.1.1这个IP

0.0.0.0 255.255.255.255 = any

  • 匹配所有ip

基础配置

1
2
Router(config)# access-list access-list-number {permit|deny} source [wildcard mask]
Router(config-if)# ip access-group access-list-number {in|out}
  • 编号选择1-99
  • 通配符若无,默认0.0.0.0
  • no access-list _access-list-number_将会删除整个ACL列表
  • 在接口中应用
  • 应用时关联入或出站方向
  • 默认出站
  • no ip access-group _access-list-number_可移除接口上应用的访问列表
1
2
Router(config)# access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
Router(config-if)# ip access-group access-list-number {in|out}
  • 在接口中应用
  • 应用时关联入或出站方向