(一)ACL分类
1、标准访问列表
只能基于源IP地址来进行分类
可以使用列表号:1-99、1300-1999
标准的访问列表通常要求放置在靠近目标的地方
2、扩展访问列表
可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类
可以使用列表号:100-199、2000-2699
扩展访问列表通常要求放置在靠近源的地方
3、命名的访问列表
只是将标准访问列表或扩展访问列表取个名字
优点:可以对访问列表进行增加、删除操作。
(二)ACL规则比较
1、如果一个访问列表有多行语句,通常按顺序从第一条开始比较,然后再往下一条条比较。
2、一个数据包如果与访问列表的一行匹配,则按规定进行操作,不再进行后续的比较。
3、在每个访问列表的最后一行是隐含的deny any语句--意味着如果数据包与所有行都不配的话,将被丢弃。
(三)访问列表的配置规则
1、你在访问列表中可以写多条比较语句,它们是按你输入的顺序来进行放置的。
2、在标准访问列表扩展访问列表中,你不能单独删除其中的一行,只能删除整个列表。
3、每个列表应当至少有一个permit语句,否则将拒绝所有流量。
4、访问列表可以用在接口的出方向,也可以用在入方向,但是要注意,在一个接口在一个方向上只能有一个访问列表。
5、访问列表可以过滤通过路由器的流量,对自已产生的流量不起作用。
6、将标准访问列表要尽可能放置在靠近目的地址的地方
7、将扩展访问列表要尽量放置在靠近源地址的地方
(四)ACL的运算符
1、eq 等于
2、neq 不等于
3、gt 大于
4、lt 小于
5、range 范围
ACL具体是过滤数据包还是路由,是由调用它的工具来决定的。
established --允许ACK/RST=1的TCP报文通过,通常用于只允许内部的主机向外部发起TCP连接,不允许外部的主机向本网发起TCP连接