发布时间 : 星期三 文章ACL更新完毕开始阅读3fdbf3a325c52cc58ad6be74
01-07 ACL配置
Page 5 of 18
表格目录
01-07 ACL配置
Page 6 of 18
表格目录
表7-1 ACL分类
表7-2 高级访问控制列表的操作符意义 表7-3 端口号助记符 表7-4 ICMP报文类型助记符
01-07 ACL配置 Page 7 of 18
关于本章
本章描述内容如下表所示。标题
7.1 访问控制列表概述 7.2 配置访问控制列表 7.3 维护访问控制列表 7.4 ACL基本配置举例
7
ACL配置
内容
了解ACL的基本概念和相关参数。
配置基本访问控制列表、高级访问控制列表。 举例:ACL基本配置举例
清除访问控制列表和ACL统计计数器。 举例说明ACL的基本配置。
01-07 ACL配置 Page 8 of 18
7.1 访问控制列表简介
本节介绍了ACL(Access Control List)的概念、分类和相关参数等。具体包括内容如 下:
· · · · · · · · ·
访问控制列表概述 访问控制列表的分类 访问控制列表的匹配顺序
访问控制列表的步长设定 基本访问控制列表 高级访问控制列表 ACL对分片报文的支持 ACL生效时间段 ACL统计
7.1.1 访问控制列表概述
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这 些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的一 系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则 判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包 的处理方法,需要由引入ACL的具体功能来决定。在产品实现中,ACL需要与某些功能(如策略路 由、防火墙、流分类等功能)配合使用,来实现过滤数据包等功能。
7.1.2 访问控制列表的分类
按照ACL用途,ACL可以分为以下几种类型,具体如表7-1所示。 表7-1 ACL分类 ACL类型
基本的ACL(Basic ACL)
数字范围 2000~2999 3000~3999
高级的ACL(Advanced ACL)
7.1.3 访问控制列表的匹配顺序
一个访问控制列表可以由多条“deny | permit”语句组成,每一条语句描述的规则是不相 同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行 匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。 有两种匹配顺序:
· ·
配置顺序(config) 自动排序(auto)
配置顺序
配置顺序(config),是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配顺 序为按用户的配置排序。