访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
ACL由若干条pemit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
一、ACL编号
比如我需要在网关SW1上做过滤策略,首先进入到系统设置,输入acl +名称序号
写一条条文,有一个书名就是ACL的名称,在里面再定义明细的规则,谁不能访问谁,谁能够访问谁。
| ACL序号范围 | ACL类型 |
|---|---|
| <2000-2999> | 基本ACL |
| <3000-3999> | 高级ACL ,规则更复杂 |
| <4000-4999> | 二层ACL ,专门装二层特征的 |
system-view
acl number 2000
rule 10 deny source 192.168.10.0 0.0.0.255
display this
quit
二、规则
1、规则编号
用于标识ACL规则。可以自行配置规则编号,也可以由系统自动分配。
ACL规则的编号范围是2000~4999
acl number 3000
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
dispaly this
quit
acl number 4000
system-view
ping 192.168.20.1
acl number 3000
dispaly this
quit
interface Vlan-interface 10
display this
packet-filter 3000 inbound
ping 192.168.20.1
ping 1.1.1.1
quit
interfacce GigabitEthernet 1/0/3
packet-filter 3000
三、ACL的分类
1、基于ACL规则定义方式的分类
| 分类 | 编号范围 | 规则定义描述 |
|---|---|---|
| 基本ACL | 2000-2999 | 仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则 |
| 高级ACL | 3000-3999 | 可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段来定义规则 |
| 二层ACL | 4000-4999 | 使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等 |
2、基于ACL标识方法的分类
| 分类 | 规则定义描述 |
|---|---|
| 数字型ACL | 传统的ACL标识方法。创建ACL时,制定一个唯一的数字标识该ACL |
| 命名型ACL | 通过名称代替编号来标识ACL |