ACL功能
过滤:通过过滤经过路由器的数据包来管理IP流量,允许或拒绝经过路由器的数据包或控制是否可以到路由器VTY的访问等。。。
分类:标识流量以进行特殊处理。VPN中;路由协议;NAT;QoS等。。。
◆概述:
是一个有序的语言集,通过对比报文中的字段与ACL参数,来允许或拒绝报文通过接口
ACL语句组成:
条件。用了匹配数据包中的字段
操作。条件匹配时,采取允许或拒绝的操作。
◆匹配规则:
序列号自上而下逐条匹配,匹配上就执行操作,没有继续向下匹配。所以配置时要注意从上到下范围是逐级增大。
默认缺省有一条deny any any
◆ACL类型
标准:只检查源IP
扩展:可以检查源和目的,以及上层的端口号。
■标准ACL通常的功能:只能过滤IP数据包头的源IP
限制通过VTY线路对路由器的访问(Telnet。ssh)
限制通过HTTP或https对路由器的访问
过滤路由更新
配置
编号或者命名
编号:access-list 1-99 permit/deny 源IP 掩码
命名:ip access-list standard 名字
permit/deny 源IP 掩码
■扩展ACL用于扩展报文的过滤能力,可以精确匹配数据。
源和目的IP、协议、源和目的端口以及特等报文字段中的允许特殊位比较的各种选项
配置
编号和命名
编号 access-list 100-199 permit/deny protocol 源或目的IP 掩码 端口
命名 ip access-list extended 名字
permit/deny protocol 源或目的IP 掩码 端口
◆ACL放置原则
扩展ACL置于离源设备较近的位置。因为基于源和目的控制,避免放到目的设备浪费链路资源
标准ACL置于离目的设备近的位置,因为只能基于源IP控制,放到源设备的话,沿途链路的设备都会 受影响,为了避免影响范围过大,放置到近目的位置
ACL指导原则
每个接口、协议(IP ;ipx;appletalk)、方向只允许有一个ACL
ACL最具体的语句必须位于列表顶部
未完待续........