A、ACLのプロフィール
ACLは、一つまたは規則のセットで構成されるパケット整合器ようなルールに基づいて、特定のメッセージフィルタリング、およびアプリケーションACLポリシーサービスモジュールによる処理に応じてパケットを許可または防止することです。
二、ACL分類
- 基本的なACL
規則を定義するためにのみ、パケットの送信元IPアドレス、および断片化情報有効期間情報を使用して、番号範囲2000年から2999年- 高度ACLは、
IPv4パケットの送信元IPアドレスが、またなどの期間を定義するために、宛先IPアドレス、IPプロトコルタイプ、ICMPタイプ、TCP送信元/宛先ポート、UDP送信元/宛先ポート番号、有効なルールを使用することができる使用することができます。番号の範囲3000-3999- 層ACL
、ソースMACアドレス、宛先MACアドレス、レイヤプロトコルタイプなどのルールを定義するために、イーサネットパケットのヘッダ情報を使用して。番号の範囲4000-4999
三、ACLのマッチングメカニズム
マッチングルール一度小さなから多数の規則によると、ルールにマッチしたら、それはもはやですが、以下のルールに一致しない、任意の任意のルールのIPデフォルト最後pertmitを暗示。
四、ACLコンフィギュレーション
1、ACLの基本構成
//設定ACL
ACL番号2000
のルール。5ソース10.1.12.0許可0.0.0.255
//アプリケーションACL
ユーザーインタフェースVTY 0 4
ACL 2000をインバウンド
2、高度なACLの設定
//設定ACL
ACL 3000
のルール。5あなたが許可をしたいですIPソース192.168.1.0 0.0.0.255 202.100.1.0 0.0.0.255
//アプリケーションACL
GigabitEthernet0 / 0/0インターフェイス
NATアドレスアウトバウンドグループ。1 3000
第五に、アドレスのプレフィックスリスト
アドレスプレフィックスリストのプレフィックスの範囲を限定することなく、スコープのマスクを制限するために、両方の、アクセス制御リストの高度な形式です。
一般的な形式:
IP IPプレフィックスIPプレフィックス名[インデックスindex番号] {許可|拒否} IPアドレスマスク長[グレーター-等しいより大きい、等しい値] [あまり等しい少ない等しい値]
例:
//マッチングネットワーク192.168.1.0/24
IP-IPプレフィックス指数5テスト許可192.168.1.0/24。
//デフォルトルートの
IP-IPプレフィックス指数5テスト許可0.0.0.0/0。
//一致するすべての
IP-IPプレフィックステスト許可0.0.0.0/0少ない。5インデックスは32に等しく
マッチング前// 8 10.0.0.0を、マスク長さ22-27間の
IP IPプレフィクス試験指数5許可 10.0.0.0/8 greater- 同じ22以下、同じ27