ACL
什么是访问控制列表
访问控制列表(ACL)
应用于路由器接口的指令列表 ,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝
ACL的工作原理
读取第三层及第四层包头中的信息
根据预先定义好的规则对包进行过滤
访问控制列表的作用
- 提供网络访问的基本安全手段
- 可用于QoS,控制数据流量
- 控制通信量
- 使用ACL阻止某指定网络访问另一指定网络
访问控制列表入与出
标准访问控制列表的配置
第一步,使用access-list命令创建访问控制列表
Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log]
第二步,使用ip access-group命令把访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
注意deny网络需要网络号和反掩码,对于特定主机需要加host
扩展访问控制列表
基于源和目的地址、传输层协议和应用端口号进行过滤
每个条件都必须匹配,才会施加允许或拒绝条件
使用扩展ACL可以实现更加精确的流量控制
访问控制列表号从100到199
扩展访问控制列表的配置
第一步,使用access-list命令创建扩展访问控制列表
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]
操作符及语法
意义
eq portnumber
等于端口号 portnumber
gt portnumber
大于端口号portnumber
lt portnumber
小于端口号portnumber
neq portnumber
不等于端口号portnumber
第二步,使用ip access-group命令将扩展访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
命名的访问控制列表
- 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串(名字)代替来表示ACL的表号
- 命名IP访问列表允许从指定的访问列表删除单个条目
- 如果添加一个条目到列表中,默认情况下该条目被添加到列表末尾 ,也可以在中间插入。
- 不能以同一个名字命名多个ACL
- 在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同