一、ACL概述
访问控制列表(Access Control Lists,ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表由一系列permit或deny语句组成的,有序规则的列表,它可以根据源地址、目的地址、协议端口号等特定条件来设定。
ACL用于匹配和区分报文,而无法实现对报文的过滤,针对ACL所匹配的报文过滤,需要配合特定的功能来调用,ACL只是一个匹配报文的工具。
二、ACL的功能
(1)过滤IP流量(可根据源IP地址、目的IP地址、协议类型、端口号等元素)
(2)在NAT中调用
(3)在路由策略中调用
(4)在VPN中调用
(5)在防火墙中部署调用
(6)在Qos中调用
三、标识访问控制列表
(1)利用数字标识访问控制列表
(2)利用名称标识访问控制列表
四、访问控制列表的种类
(1)基本访问控制列表:
Basic ACL:2000-2999
只能够对IP头中的源IP地址进行匹配。
(2)高级访问控制列表:
Advanced ACL:3000-3999
能针对数据包的源IP地址、目的IP地址、协议类型、源目的端口号等元素进行匹配。
(3)二层访问控制列表
L2 ACL:4000-4999
五、ACL的匹配顺序
例如:
acl XXX
Rule 5 (permit/deny) 匹配条件
Rule 10 (permit/deny) 匹配条件
... ...
Rule N (permit/deny) 匹配条件
末尾隐含 permit 或 deny any
注:ACL的匹配顺序由上至下执行。如前面都是permit,未尾隐含deny;如前面都是deny,未尾隐含permit。
六、基本的ACL
(1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 2000-2999
[H3C] acl num
[H3C-acl-basic-num]
(2)创建一个rule
[H3C-acl-basic-num] rule num {permit/deny} source src-address wildcard
注:wildcard 是反掩码
七、高级ACL
(1)使用编号创建一个基本ACL,进入ACL视图,ACL编号范围是 3000-3999
[H3C] acl num
[H3C-acl-adv-num]
(2)创建一个rule
[H3C-acl-adv-num] rule num {permit/deny} ip source src-address wildcard destination dst-address wildcard
八、特殊的wildcard
(1)精确匹配 192.168.1.1
192.168.1.1 0.0.0.0 = 192.168.1.1
(2)匹配所有IP any
0.0.0.0 255.255.255.255 = any
注:wildcard的规划是: 0 表示需要匹配,1表示无需匹配。
九、相关命令
dis acl XXX //查看ACL匹配的数据包