ACL 访问控制列表
ACL(Access Control List) 接入控制列表
ACL 的量大主要功能:
- 流量控制
- 匹配感兴趣流量
标准访问控制列表
- 只能根据源地址做过滤
- 针对曾哥协议采取相关动作(允许或禁止)
扩展访问控制列表
- 能根据源、目的地址、端口号等等进行过滤
- 能允许或拒绝特定的协议
ACL的类型:
- Standard ACL
- ExtendedACL
- Two methods used to identify standard and extended ACLs
ACL入方向的操作
示意图:
ACL出站方向的操作
示意图:
ACL的标识
ACL的标识可以是两种,可以是十进制数或者是个字符串
这里是有区分的
1、标准的访问列表:1-99,1300-1999 区间的,路由器会默认理解为你在定义一个标准的访问ACL,也就是说只能限制源地址
2、扩展的访问列表:100-199, 2000-2699 区间的,路由器会默认理解为你在定义一个扩展的ACL,也就是说可以限制端口、协议、源地址、目标地址等
3、字符串的访问列表:路由器会默认理解为你在定义第三种的ACl,包含了标准和扩展访问列表的特性;
标准访问控制列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [wildcard mask]
- 编号
access-list-number
选择1-99 - 通配符若无,默认0.0.0.0
- “弄access-list access-list-number” 将会删除整个ACL列表
应用到接口上:
Router(config-if)#
ip access-group access-list-number { in | out }
- 在接口中应用
- 应用时关联入口或出口方向
- 默认出站
- "no ip access-group access-list-number"可以出接口上应用的访问列表