01-07ACL配置.docVIP

目 录 7 ACL配置 7-1 7.1 访问控制列表简介 7-2 7.1.1 访问控制列表概述 7-2 7.1.2 访问控制列表的分类 7-2 7.1.3 访问控制列表的匹配顺序 7-2 7.1.4 访问控制列表的步长设定 7-4 7.1.5 基本访问控制列表 7-4 7.1.6 高级访问控制列表 7-4 7.1.7 基于接口的访问控制列表 7-8 7.1.8 ACL对分片报文的支持 7-8 7.1.9 ACL生效时间段 7-9 7.2 配置访问控制列表 7-9 7.2.1 建立配置访问控制列表的任务 7-9 7.2.2 创建ACL生效时间段 7-10 7.2.3 配置ACL描述信息 7-11 7.2.4 配置基本访问控制列表 7-11 7.2.5 配置高级访问控制列表 7-11 7.2.6 配置基于接口的访问控制列表 7-12 7.2.7 配置ACL的步长 7-12 7.2.8 检查配置结果 7-12 7.3 维护访问控制列表 7-13 7.4 ACL基本配置举例 7-13 插图目录 图7-1 ACL配置案例组网图 7-14 表格目录 表7-1 ACL分类 7-2 表7-2 高级访问控制列表的操作符意义 7-5 表7-3 端口号助记符 7-6 表7-4 ICMP报文类型助记符 7-8 ACL配置 关于本章 本章描述内容如下表所示。 标题 内容 7.1 访问控制列表简介 了解ACL的基本概念和相关参数。 7.2 配置访问控制列表 配置基本访问控制列表、高级访问控制列表或基于接口的访问控制列表。 举例：ACL基本配置举例 7.3 维护访问控制列表 清除访问控制列表。 7.4 ACL基本配置举例 举例说明ACL的基本配置。 访问控制列表简介 本节介绍了ACL（Access Control List）的概念、分类和相关参数等。具体包括内容如下： 访问控制列表概述 访问控制列表的分类 访问控制列表的匹配顺序 访问控制列表的步长设定 基本访问控制列表 高级访问控制列表 基于接口的访问控制列表 ACL对分片报文的支持 ACL生效时间段 访问控制列表概述 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL定义的。访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。 访问控制列表的分类 按照ACL用途，ACL可以分为3种类型，具体如表7-1所示。 ACL分类 ACL类型 数字范围 基于接口的ACL（Interface-based ACL） 1000～1999 基本的ACL（Basic ACL） 2000～2999 高级的ACL（Advanced ACL） 3000～3999 访问控制列表的匹配顺序 一个访问控制列表可以由多条“deny | permit”语句组成，每一条语句描述的规则是不相同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。 有两种匹配顺序： 配置顺序（config） 自动排序（auto） 配置顺序 配置顺序（config），是指按照用户配置ACL的规则的先后进行匹配。缺省情况下匹配顺序为按用户的配置排序。 自动排序 自动排序（auto）使用“深度优先”的原则进行匹配。 “深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。 比如 指定了一台主机：，而 55则指定了一个网段：～55，显然前者在访问控制规则中排在前面。具体标准如下。 对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序； 对于基于接口的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序； 对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。 规则ID 每条规则都有一个“规则ID”，在指定规则的时候，是不需要人为指定规则ID的，系统会自动为每一条规则生成一个“规则ID”。 规则ID之间会留下一定的空间，具体空间大小由“ACL的步长”来设定。例如步长设定为5，ACL规则ID分配是按照5、10、15……这样来分配的。 系统自动生成的规则ID从步长值起始。比如：步长值是5，自动生成的规则ID从5开始；步长值是2，自动生成的规则ID从2开始。这样做是为了便于用户在第一条规则前面插入新规则。 在“配置顺序”的