访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
华为把Qos跟ACL混在一起的,ACL是简单的流策略
思科acl有个默认拒绝的内置命令,华为是默认允许
从第一条语句开始向下匹配,一旦匹配成功则进行执行并不再进行后续匹配
路由器的一个接口同一个方向最多只能够有一个列表,但一个列表中可以有多条语句
列表在调用时需要分清出入口,以数据流向为参照,进入接口的是"inbound" 出口是"outbound"
访问控制列表在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
从路由器的角度来看,数据包可以分为进入的和出去的数据包。在不同方向应用ACL时,是对两种不同数据流量进行过滤,分别是出口流量和入口流量。
ACL是一组判断语句的集合,具体对下列数据包进行检测并控制:
从入站接口进入设备的数据包;从出站接口离开设备的数据包。
注意事项
1、访问控制列表对路由器本身产生的数据包不起作用
2、只有在数据包与第一个判断条件不匹配时,它才交给ACL中的下一个条件判断语句进行比较
3、在与某条语句匹配后,就结束比较过程,不再检查以后的其他条件判断语句
4、如果不与任一语句匹配,则它必与最后隐含的拒绝匹配(思科)
5、写规则时按照从具体到普遍的次序来排列条目
6、将较经常发生的条件放在较不经常发生的条件之前
7、在一个接口中只能应用一个acl策略
ACL中定义的这些规则可能存在重复或矛盾的地方。规则的匹配顺序决定了规则的优先级,ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形
路由器匹配规则时默认采用配置顺序。
命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号