ACL分类:
标准访问控制列表(调用在接近源设备上) 1-99
只能对源进行控管
扩展访问控制列表(调用在接近目标设备上) 100-199
命名访问控制列表
时间访问控制列表
acl运行规则:
一.依据序列号对ACL进行逐条匹配 (顺序性)
二.匹配中ACL中的一条列表既结束ACL过滤动作 (匹配任意一条,就跳出ACL动作)
三.列表尾部隐式拒绝所有 (ACL默认拒绝所有流量通过)
四.不能过滤本地产生的流量 (ACL不能控管本地始发的流量.源是自己目标是其他人,源是其他,目标是我自己)
标准acl:只控制源ip地址 drop所有源的流量
Router(config)#access-list [0-99] permit/deny ip-address(source)
目前设备支持的ACL,有以下两种实现方式。
•软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来过滤报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由协议、组播协议中引用的ACL。
•硬件ACL:针对所有报文(一般是针对转发的数据报文),通过下发ACL资源到硬件来过滤报文的ACL,比如流策略、基于ACL的简化流策略、自反ACL、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。
两者主要区别在于:
•过滤的报文类型不同:软件ACL用来过滤与本机交互的报文(必须上送CPU处理的报文),硬件ACL可以用来过滤所有报文(一般是针对转发的数据报文)。
•报文过滤方式不同:软件ACL是被上层软件引用来实现报文的过滤,硬件ACL是被下发到硬件来实现报文的过滤。通过软件ACL过滤报文时,会消耗CPU资源,通过硬件ACL过滤报文时,则会占用硬件资源。通过硬件ACL过滤报文的速度更快。
•对不匹配ACL的报文的处理动作不同:当使用软件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为deny,即拒绝报文通过;当使用硬件ACL时,如果报文未匹配上ACL中的规则,设备对该报文采取的动作为permit,即允许报文通过。