ACL

ACL——access control list

 

ACL的作用

       过滤数据包，根据数据中封装的第三层、第四层的包头，进行数据包的过滤

 

ACL的工作原理

       在路由器接口上应用一系列的ACL规则，当有一个数据包进入到这个接口时，这个接口会拿数据所封装的包头内容与第一条规则进行匹配，如果匹配成功则决定这个数据是被转发还是被丢弃；如果不匹配则进行下一条的匹配；如果到最后一条也没有匹配成功的，则执行默认的规则（丢弃所有数据包）

 

ACL的分类

一、标准ACL

特点：

1、  仅能根据数据包的源IP地址进行过滤

2、  尽量应用在离目的地最近的接口上

3、  其编号是1-99

标准ACL的配置：

创建ACL

Access-list num {permit | deny} source source-wildcard

Access-list 10 permit host 192.168.1.1

Access-list 10 deny any

       将规则应用到路由器接口上

              Ip access-group 10 {in | out}

二、扩展ACL

特点：

1、  不仅能根据源IP进行过滤，还可以根据目的IP、端口和协议进行过滤

2、  尽量应用在离源地址最近的端口上

3、  其编号是100---199

扩展ACL的配置

创建扩展ACL

      

       Access-list 100 permit tcp any host 192.168.10.1 eq 21

       Access-list 100 deny ip any host 192.168.10.1

将规则应用到路由器接口上

      Ip access-group 100 {in | out }    

三、命名ACL

特点：

1、  给ACL起一个方便记忆的名字

命名ACL的配置

创建命名ACL

（1）       标准命名ACL

Ip access-list standard name

Permit source source-wildcard

（2）       扩展命名ACL

Ip access-list extended name

{permit | deny} protocol {source source-wildcard} {destination destination-wildcard} {port}

将ACL应用到接口上

              Ip access-group name {in | out}

四、基于时间的ACL

1、  定义一个时间段

Time-range timename

Periodic days-of-week hh:mm to days-of-week hh:mm

Days-of-week取值：

        Weekdays；周一到周五

        Weekends：周末

        Daily：每天

Absolute [start hh:mm day month year]  [end: hh:mm day month year]

       2、Access-list num {permit | deny} protocol {source source-wildcard} {destination destination-wildcard} {port} time-range timename