访问控制列表ACL是一条或多条规则组成的集合,设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
- 基本ACL
仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则,编号范围2000-2999- 高级ACL
既可使用IPv4报文的源IP地址,也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。编号范围3000-3999- 二层ACL
使用报文的以太网帧头信息来定义规则,如根据源MAC地址、目的MAC地址、二层协议类型等。编号范围4000-4999
按照规则编号从小到大一次匹配规则,一旦匹配某条规则,就不再匹配后面的规则,默认最后隐含一条pertmit ip any any 规则。
// 配置ACL
acl number 2000
rule 5 permit source 10.1.12.0 0.0.0.255
// 应用ACL
user-interface vty 0 4
acl 2000 inbound
// 配置ACL
acl 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 202.100.1.0 0.0.0.255
// 应用ACL
interface GigabitEthernet0/0/0
nat outbound 3000 address-group 1
地址前缀列表是高级形式的访问控制列表,既能限制前缀的范围,又能限制掩码的范围。
一般形式为:
ip ip-prefix ip-prefix-name [ index index-number ] { permit | deny } ip-address mask-length [ greater-equal greater-equal-value ] [ less-equal less-equal-value ]
例如:
// 匹配192.168.1.0/24网络
ip ip-prefix test index 5 permit 192.168.1.0/24
// 默认路由
ip ip-prefix test index 5 permit 0.0.0.0/0
// 匹配any
ip ip-prefix test index 5 permit 0.0.0.0/0 less-equal 32
// 匹配10.0.0.0的前8位,且掩码长度在22位到27位之间
ip ip-prefix test index 5 permit 10.0.0.0/8 greater-equal 22 less-equal 27
原文:https://blog.51cto.com/12631595/2484965