ACL : access control list 訪問 控制 列表
>>>定義 :是路由器和交換機接口的指令列表,用來控制端口進出的數據包。告訴路由器哪些數據包可以接收、哪些數據包需要拒絕,保證網絡資源不被非法使用和訪問。ACL適用於所有的被路由協議是路由器和交換機接口的指令列表,用來控制端口進出的數據包。告訴路由器哪些數據包可以接收、哪些數據包需要拒絕,保證網絡資源不被非法使用和訪問。ACL適用於所有的被路由協議
>>>原理 :一個ACL,就是一套規則。
一個ACL中,就有多個不同的細分條目;
不同的條目之間,是通過編號進行區分的;
通過ACL匹配流量時,是按照編號從小到大的順序,依次檢查每個“細分條目”的:
如果能匹配住,則執行前面的動作(deny/permit);如果不能,則繼續檢查下一個“細分條目”;如果到最後都沒有匹配住,則執行 ACL 最後一個默認的“細分條目” --- 拒絕所有(deny any )!
注意:任何一種類型的ACL,最後都有一個“拒絕所有”的條目
表示 ID:通過數字來表示不同的ACL;
name:通過名字來表示不同的ACL;
>>>分類
思科:
標準ACL:在匹配流量時,只能匹配流量的源IP地址;
編號範圍:1-99
位置:靠近目的
擴展ACL:在匹配流量時,可以同時匹配流量的源IP地址、目標IP地址、 TCP/UDP+端口號
編號範圍:100-199
位置:靠近源
擴展ACL匹配流量,更加精確;
流量通過五元組構成的:源MAC ; 目標 MAC; 源IP; 目標IP; 傳輸成協議
>>>華爲:
Ip-ACL(3層acl)
基本ACL - basic ACL -----> 標準ACL
高級ACL - advanced ACL----> 擴展ACL
注意 1.通配符0代表精確 1代表隨機
2.ACL不會對本地設備發起的流量起作用,僅僅對穿越流量起作用