码迷,mamicode.com
首页 > 其他好文 > 详细

ACL

时间:2020-03-26 13:46:04      阅读:83      评论:0      收藏:0      [点我收藏+]

标签:terminal   动作   host   接口   开头   条目   注释   拒绝   rmi   

一、ACL基本概念

  1、ACL 全称:Access Control List

  2、ACL是一种包过滤技术。

  3、APL是基于IP包头的IP地址、四层TCP/UDP头部的端口号、[五层数据]。  (基于三层和四层顾虑)

  4、ACL在路由器上配置,也可以在防火墙上配置(防火墙上一般称为策略)。

 

 二、ACL分类:

  ACL分为 标准ACL扩展ACL

  1、标准ACL:

    表号:1 — 99

    特点:只能基于源IP对包进行过滤。

 

  2、扩展ACL:

     表号:100 — 199

    特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤。

 

 

三、ACL原理:

  1、ACL表必须应用到接口的进或出方向才能生效;

  2、一个接口的一个方向只能应用一张表;

  3、进还是出方向应用?取决于流量控制的总方向;

  4、ACL表是严格自上而下检查每一条,所以要注意书写顺序;

  5、每一条是由条件和动作组成的,当流量完全满足条件时,执行动作,当某流量没有满足某条件时,则继续检查下一条;

  6、标准ACL尽量写在靠近目标的地方

 经验总结:

  1)做流量控制,首先要先判断ACL写的位置(哪个路由器?哪个接口的那个方向?);

  2)再考虑怎么写ACL;

  3)怎么写。

 

四、命令:

  1、标准ACL:

    config terminal

    access-list  表号  permit/deny  源IP或原网段  反子网掩码

     注释:反子网掩码:将正子网掩码的0和1倒置。如:255.0.0.0 --> 0.255.255.255

        发子网掩码的作用:用来匹配条件,与0对应的需要严格匹配,与1对应的忽略!

    例如:access-list  1  deny  10.0.0.0  0.255.255.255       该条目用来拒绝所有源IP为10开头的。

       access-list  1  deny  10.1.1.1  0.0.0.0     该条目用来拒绝所有源IP为10.1.1.1的主机。

          可简写为:access-list  1  deny  host  10.1.1.1

      access-list  1  deny  0.0.0.0  255.255.255.255    该条目用来拒绝所有人

      可简写为:access-list  1  deny  any

 

  2、扩展ACL:

 

ACL

标签:terminal   动作   host   接口   开头   条目   注释   拒绝   rmi   

原文地址:https://www.cnblogs.com/qvpenglou/p/12573778.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!