ACL访问控制列表总结

 

ACL 分类：

按端口所在不同层面可以划分为：

基于 IP 地址第三层的 ACL

基于 VALN 号的 ACL

基于 MAC 地址的 ACL

基于时间的 ACL

 

ACL 慨述：

控制业务数据

限制对路由器的 Telnet(VTY) 访问

过滤路由选择信息

通过排队技术区分 WAN 流量的优先次序

通过按需拨号路由选择

该变路由的管理距离

 

ACL 定义：

  ACL 基本上是一个命令，通过编号或组织在一起，用来过滤进入或离开接口的流量。

。入站（流量进入接口）   

。出站（在流量流出接口之前）

 

ACL 类型：

编号 ACL 和命名 ACL

编号和命名ACL定义了路由器将如何引入ACL,可以将其当作类似索引来看待.

编号ACL在所有ACL中分配一个唯一的号码,而命名ACL在所有ACL分配一个唯一

的名称.

 

标准 ACL （ 1~99 标准编号 ACL ； n 条与存储量有关，标准命名 ACL ）

每种ACL的引用都支持两种类型的过滤:标准和扩展.

标准ACL仅根据分组内的源IP地址进行过滤

 

扩展ACL(100 ~199 扩展编号 ACL ； n 条与存储有关，扩展命名 ACL )

   可以根据分组源和目的IP地址,IP地址类型(TCP/UDP/ICMP等等）

 

 

标准ACL 和扩展ACL 的比较:

可过滤的信息	标准IP ACL	扩展IP ACL
源地址	是	是
目的地址	否	是
IP 协议(如TCP或UDP	否	是
协议信息(如端口号)	否	是

  ACL 处理过程：

   路由器自顶向下的处理 ACL. 执行包含 2 个动作 ( 允许 / 拒绝 )

一旦找到匹配项 , 列表中的后续语句就不在处理

语句之间的排列顺序很重要

如果列表中没有匹配项 , 就丢弃分组 .

 

ACL 重要配置指导方针：

 

语句顺序的重要性:把最严格的语句放在列表顶部,最不严格的语句放在语句的底部.

ACL 语句将按自顶向下的顺序进行处理,只至找到匹配项,后续语句不在处理

如果ACL中没有找到匹配项,则丢弃分组(隐含拒绝)

每个ACL需要一个唯一的号码或唯一的名称.

路由器不能过滤自己产生的流量.

每个接口在每个方向(入站和出站)只能应用一个IP ACL―既在一个借口上不能应用两个以上入站或出站ACL.

在接口应用空的ACL,默认情况下允许所有的流量;为了是ACL具有隐含拒绝语句,列表至少需要一条实际的permit或deny语句.

 

TCP 和UTP操作符

操作符	说明
It	小于
Gt	大于
Neq	不等于
Eq	等于
Range	端口号范围

 

常用 TCP 端口名称及编号

端口名	命令参数	端口号
FTP 数据端口	ftp-data	20
FTP 控制端口	ftp	21
Telnet	telnet	23
SMTP	Smtp	25
WWW	www	80

 

常用UDP端口名称及编号

端口名	命令参数	端口号
DNS 请求	DNS	53
TFTP	TFTP	69
SNMP	SNMP	16
RIP	RIP	520

 

 

 

 

 

 

 

 

关于 ACL 应该放到什么地方，下面两条规则在很多情况下都是使用的：

  。标准 ACL 应该尽可能接近设备放置（标准靠近目标）

  。扩展 ACL 应该尽可能靠近发送站设备放置（扩展靠近源）