訪問控制列表ACL(Access Control List)是由一條或多條規則組成的集合。所謂規則,是指描述報文匹配條件的判斷語句,這些條件可以是報文的源地址、目的地址、端口號等。
ACL本質上是一種報文過濾器,規則是過濾器的濾芯。設備基於這些規則進行報文匹配,可以過濾出特定的報文,並根據應用ACL的業務模塊的處理策略來允許或阻止該報文通過。
華為把Qos跟ACL混在一起的,ACL是簡單的流策略
思科acl有個默認拒絕的內置命令,華為是默認允許
從第一條語句開始向下匹配,一旦匹配成功則進行執行並不再進行后續匹配
路由器的一個接口同一個方向最多只能夠有一個列表,但一個列表中可以有多條語句
列表在調用時需要分清出入口,以數據流向為參照,進入接口的是"inbound" 出口是"outbound"
訪問控制列表在接口應用的方向
出:已經過路由器的處理,正離開路由器接口的數據包
入:已到達路由器接口的數據包,將被路由器處理
從路由器的角度來看,數據包可以分為進入的和出去的數據包。在不同方向應用ACL時,是對兩種不同數據流量進行過濾,分別是出口流量和入口流量。
ACL是一組判斷語句的集合,具體對下列數據包進行檢測並控制:
從入站接口進入設備的數據包;從出站接口離開設備的數據包。
注意事項
1、訪問控制列表對路由器本身產生的數據包不起作用
2、只有在數據包與第一個判斷條件不匹配時,它才交給ACL中的下一個條件判斷語句進行比較
3、在與某條語句匹配后,就結束比較過程,不再檢查以后的其他條件判斷語句
4、如果不與任一語句匹配,則它必與最后隱含的拒絕匹配(思科)
5、寫規則時按照從具體到普遍的次序來排列條目
6、將較經常發生的條件放在較不經常發生的條件之前
7、在一個接口中只能應用一個acl策略
ACL中定義的這些規則可能存在重復或矛盾的地方。規則的匹配順序決定了規則的優先級,ACL通過設置規則的優先級來處理規則之間重復或矛盾的情形
路由器匹配規則時默認采用配置順序。
命名訪問控制列表
命名訪問控制列表允許在標准和擴展訪問控制列表中使用名稱代替表號