文档介绍:访问控制列表
ACL 运行简介
为什么要使用 ACL?
过滤:通过过滤经过路由器的数据包来管理 IP 流量
分类:标识流量以进行特殊处理
ACL 的应用:过滤
允许或拒绝经过路由器的数据包。
允许或拒绝来自路由器或到路由器的 vty 访问。
如果没有 ACL,所有数据包会发往网络的所有部分。
根据数据包测试情况对流量进行特殊处理
ACL 的应用:分类
出站 ACL 运行
如果没有 ACL 语句匹配,则丢弃数据包。
测试步骤:拒绝或允许
ACL 的类型
标准 ACL
检查源地址
通常允许或拒绝整个协议簇
扩展 ACL
检查源地址和目的地址
通常允许或拒绝特定协议和应用程序
有两种用于标识�标准 ACL 和扩展 ACL 的方法:
编号 ACL 使用编号进行标识
命名 ACL 使用描述性名称或编号进行标识
如何标识 ACL
标准编号 IPv4 列表(1-99) 可测试源地址的所有 IP �数据包的条件。扩展范围是(1300-1999)。
扩展编号 IPv4 列表(100-199) 可测试源地址和目的地址、�特定 TCP/IP 协议和目的端口的�条件。扩展范围是(2000-2699)。
命名 ACL 用字母数字字符串(名称)标识 IP �标准 ACL 和扩展 ACL。
IP 访问列表条目序列编号
需要 Cisco IOS 版
允许使用序列编号来编辑 ACL 语句的顺序
在 Cisco IOS 版之前,使用文本编辑器来创建 ACL 语句,然后将语句以正确的顺序复制到路由器中。
允许使用序列号从列表中删除单条 ACL 语句
在 Cisco IOS 版之前的软件中使用命名 ACL 时,必须使用 no {deny | permit} protocol source source-wildcard destination destination-wildcard 来删除单条语句。
在 Cisco IOS 版之前的软件中使用编号 ACL 时,必须删除整个 ACL 才能删除单条 ACL 语句。
ACL 配置的指导原则
标准或扩展代表可过滤的内容。
每个接口、协议、方向只允许有一个 ACL。
ACL 语句的顺序控制着测试,因此最具体的语句位于列表顶部。
最后的 ACL 测试始终是隐式拒绝其它所有语句,因此每个列表需要至少一条 permit 语句。
在全局范围内创建 ACL,然后将其应用到入站流量或出站流量的接口。
ACL 可过滤经过路由器的流量或往返路由器的流量,具体取决于其应用方式。
将 ACL 置于网络中时:
扩展 ACL 应靠近源地址
标准 ACL 应靠近目的地址