"
一、ACL的简介
ACL(Access Control List 访问控制列表)是路由器和交换机接口的指令列表,用来控制端口进出的数据//代码效果参考:https://v.youku.com/v_show/id_XNjQwNjgzODMwNA==.html
包。ACL的定义也是基于每一种被动路由协议的,且适用于所有的被动路由协议(如IP、IPX、Apple Talk等),如果路由器接口配置成为三种协议(IP、Apple Talk和IPX),那么必须定义三种ACL来分别控制这三种协议的数据包。二、ALC的作用
CL可以限制网络流量、提高网络性能;提供网络安全访问的基本手段;可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞,应用范围很广,如:路由过滤、Qos、NAT、Router-map、VTY等。
三、ACL的分类
根据过滤层次:基于IP的ACL(IP ACL)、基于MAC的ACL(MAC ACL),专家ACL(Expert ACL)。
根据过滤字段:标准ACL(IP ACL、MAC ACL)、扩展ACL(IP ACL、MAC ACL、专家ACL)。
根据命名规则:表号ACL、命名ACL。
四、ACL规范和原则
自上//代码效果参考:https://v.youku.com/v_show/id_XNjQwNjgzNTEwNA==.html
而下,优先匹配,末尾隐含拒绝。一个ACL的配置是基于每种协议的每个接口的每个方向,路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。
尽量考虑将扩展ACL放在靠在源的位置的上,保证被拒绝的数据包尽早拒绝,避免浪费带宽,另外,尽量使用标准的ACL靠近目的,由于标准ACL只使用源地址,如果将其靠近源会阻止数据包流向其他方向。
在ACL最后,隐含一条拒绝所有的命令,所以在ACL里一定至少有一条允许的语句。
ACL只能过滤穿过本路由器的数据流量,不能过滤由本路由上发出的数据包。
路由器接口收到数据包时,应用在接口in方向的ACL起作用,数据包被允许后,路由器才会对数据包进行路由处理,在数据包被路由选择交付到出站接口时,应用在接口out方向的ACL起作用,对接口发送出去的数据进行检查,相比之下,入站ACL比出站ACL更加高效。
3P原则:每种协议一个ACL,每个方向一个ACL,每个接口一个ACL。
五、标准ACL
表号:1-99、1300-1999
动作:允许或者拒绝
限制条件: 源地址
配置模板
R1(config)#access-list access-list-number {remark|permit|deny} source source-wildcard 【log】
R1(config)#access-list 表号 策略 源地址
R1(config)#int f0/0
R1(config-if)#ip access-group 表号 方向
"
