|
|
| IP访问控制列表的过滤功能,提供了基于源地址、目的地址、各种协议和端口号的过滤准则。设定不同的过滤准则,不但能够实现拒绝接收或允许接收某些源IP地址的数据包进入路由器,也可以拒绝接收或允许接收到达某些目的IP地址的数据包通过路由器,还可以拒绝接收或允许接收某些协议的数据包通过路由器,拒绝接收或允许接收某些协议的某些端口号的数据包通过路由器。
|
|
|
| IP访问控制列表主要有两种类型:一类是标准访问控制列表(IP Standard Access Control List);另一类是扩展访问控制列表(IP Extended Access Control List)。
|
|
|
| (1)标准访问控制列表只对数据包中的源地址进行检查,而不考虑目的地址及端口号等过滤选项,表号为1~99。
|
|
|
| (2)扩展访问控制列表除了检查源地址和目的地址外,还可以检查指定的协议,根据数据包头中的协议类型进行过滤;可以检查端口号,根据端口号对数据包进行过滤。扩展访问控制列表的表号范围是100~199,后来又进行了扩展,扩展的表号是2000~2699。
|
|
|
|
|
| 使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图,操作命令如下:
|
|
|
|
|
| 或者使用名称创建一个命名型的基本ACL,并进入基本ACL视图操作命令为:
|
|
|
|
|
| 如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config;创建ACL后,ACL的默认步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整;(可选)执行命令description text,配置ACL的描述信息。
|
|
|
|
|
|
|
| 以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
|
|
|
|
|
|
|
|
|
| 一般可以直接删除ACL,不受引用ACL的业务模块影响(简化流策略中引用ACL指定rule的情况除外),即无须先删除引用ACL的业务配置。
|
|
|
|
|
| 在网络维护过程中,需要管理员为原ACL添加新的规则。由于ACL的默认步长是5,在系统分配的相邻编号的规则之间,最多只能插入4条规则。调整步长,在ACL视图下执行step step,配置ACL步长。
|
|
|
|
|
| 确认设备ACL资源的分配情况,在任意视图下查看ACL资源信息的命令如下。
|
|
|
|
|
| 若显示信息中的计数非零,表示设备仍存在空余的ACL资源。
|
|
|
| 确认需要清除ACL的运行信息后,在用户视图下清除ACL统计信息的命令如下。
|
|
|
|
|
|
|
| ACL规定使用通配符掩码来说明子网地址,通配符掩码就是子网掩码按位取反的结果。通配符掩码0.0.0.0表示ACL语句中的32位地址要求全部匹配,因而叫作主机掩码。例如:192.168.1.1 0.0.0.0表示主机192.168.1.1的IP地址,实际上路由器把这个地址转换为host 192.168.1.1,注意这里的关键字host。
|
|
|
| 通配符掩码255.255.255.255表示任意地址都是匹配的,通常与地址0.0.0.0一起使用,例如:0.0.0.0 255.255.255.255,路由器将把这个地址转换为关键字any。下表给出了几个使用通配符掩码的例子。
|
|
|
|
|
|
|
