ACL简介
ACL即 Access Control List=访问控制列表,用于对网络流量进行流量控制,ACL是一种包过滤技术。
ACL基于三层的源IP、目标IP,基于四层的端口号对数据包进行过滤!
ACL原理:
1)ACL表必须应用到接口上才能生效!
2)ACL表应用到接口的一个方向上!(in/out方向二选一)
3)一个接口的一个方向只能应用一张ACL表。
4)ACL表是严格自上而下匹配每一条,匹配条件成功,则执行动作,并不在往下匹配其他条目!
5)标准ACL尽量写在靠近目标的地方
6)在每个ACL表的最后,都隐藏了一条拒绝所有的条目!
7)默认情况下,标准ACL和扩展ACL一旦编写完成后,不能修改某一条、不能往中间插入、不能删除某一条,只能往最后一直追加!只能删除整张ACL,重新编写!
ACL的类型
1)标准ACL (standard)
表号:1-99
功能:只能基于源IP对包进行过滤!
命令:
conf t
access-list 表号 deny/permit 源IP 反子网掩码
反子网掩码:0.255.255.255(0代表严格进行匹配,255不需要进行匹配)
access-list 1 deny 10.1.1.0 0.0.0.255(与10.1.1.这个网段进行匹配)
access-list 1 deny 20.1.1.1 0.0.0.0 (与20.1.1.1ip进行匹配)
access-list 1 permit 0.0.0.0 255.255.255.255
2)扩展ACL (extended)
表号:100-199
功能:可以基于源IP、目标IP、端口、协议等对包进行过滤!
命令:
access-list 100 deny/permit 协议 源IP 反子网掩码 目标IP 反子网掩码 [eq 端口号]
注释:
协议:ip/tcp/udp/icmp (端口依赖于应用层的协议)
icmp ping依赖的协议
acc 100 permit tcp 10.1.1.0 0.0.0.255 host 30.1.1.1 eq 80
acc 100 permit icmp 10.1.1.0 0.0.0.255 host 30.1.1.1
acc 100 deny ip 10.1.1.0 0.0.0.255 host 30.1.1.1
acc 100 permit ip any any
将ACL应用到接口上:
int f0/1
ip access-group 表号 in/out
exit
查看ACL表:
show ip access-list
删除ACL表:
conf t
no acc 表号
3)命名ACL(不局限于仅用数字命名表号):
命令:
conf t
ip access-list standard/extended 表名(数字字母随便组合)
deny/permit 协议 源IP 反子网掩码 目标IP 反子网掩码 [eq 端口号]
exit
命名ACL的优点:可以删除某一条,也可以插入新的ACL条目
删除:先进去表里(ip access-list standard/extended 表名)
no 每一行最前面的数字
插入新的ACL条目:先进去表(ip access-list standard/extended 表名)
数字 deny/permit 协议 源IP ......
来源:CSDN
作者:辰辰啊
链接:https://blog.csdn.net/qq_44159028/article/details/100386358