ACL

Posted 2020-11-27 qvpenglou

一、ACL基本概念

　　1、ACL 全称：Access Control List

　　2、ACL是一种包过滤技术。

　　3、APL是基于IP包头的IP地址、四层TCP/UDP头部的端口号、[五层数据]。  （基于三层和四层顾虑）

　　4、ACL在路由器上配置，也可以在防火墙上配置（防火墙上一般称为策略）。

 

 二、ACL分类：

　　ACL分为 标准ACL 和 扩展ACL

　　1、标准ACL：

　　　　表号：1 — 99

　　　　特点：只能基于源IP对包进行过滤。

 

　　2、扩展ACL：

 　　　　表号：100 — 199

　　　　特点：可以基于源IP、目标IP、端口号、协议等对包进行过滤。

 

 

三、ACL原理：

　　1、ACL表必须应用到接口的进或出方向才能生效；

　　2、一个接口的一个方向只能应用一张表；

　　3、进还是出方向应用？取决于流量控制的总方向；

　　4、ACL表是严格自上而下检查每一条，所以要注意书写顺序；

　　5、每一条是由条件和动作组成的，当流量完全满足条件时，执行动作，当某流量没有满足某条件时，则继续检查下一条；

　　6、标准ACL尽量写在靠近目标的地方

　经验总结：

　　1）做流量控制，首先要先判断ACL写的位置（哪个路由器？哪个接口的那个方向?）；

　　2）再考虑怎么写ACL；

　　3）怎么写。

 

四、命令：

　　1、标准ACL：

　　　　config terminal

　　　　access-list  表号  permit/deny  源IP或原网段  反子网掩码

　　　　　注释：反子网掩码：将正子网掩码的0和1倒置。如：255.0.0.0 --> 0.255.255.255

　　　　　　　　发子网掩码的作用：用来匹配条件，与0对应的需要严格匹配，与1对应的忽略！

　　　　例如：access-list  1  deny  10.0.0.0  0.255.255.255       该条目用来拒绝所有源IP为10开头的。

　　　　　　 access-list  1  deny  10.1.1.1  0.0.0.0　    该条目用来拒绝所有源IP为10.1.1.1的主机。

　　　　　     可简写为：access-list  1  deny  host  10.1.1.1

　　　　　　access-list  1  deny  0.0.0.0  255.255.255.255    该条目用来拒绝所有人

　　　　　　可简写为：access-list  1  deny  any

 

　　2、扩展ACL：