400-018-7770

访问控制列表的使用与配置

作者:中智国华发布时间:2022年06月22日



一、应用


ACL可以应用于多种场合,其中最为常见的应用情形如下:


1、过滤邻居设备间传递的路由信息。


2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。


3、控制穿越网络设备的流量和网络访问。


4、通过限制对路由器上某些服务的访问来保护路由器,如HTP、SNMP和NIP等。


5、为DDR和 IPSeC VPN定义感兴趣流。


6、能够以多种方式在IOS中实现QoS(服务质量)特性。


7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。


二、访问控制列表的使用


(1)创建访问控制列表ACL,根据实际需要设置对应的条件项;


(2)将ACL应用到路由器指定接口的指定方向(in/out)上。


在ACL的配置与使用中需要注意以下事项:


(1)ACL是自顶向下顺序进行处理,一旦匹配成功,就会进行处理,且不再比对以后的语句,所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面,最不严格的语句放在底部。


(2)当所有语句没有匹配成功时,会丢弃分组。这也称为ACL隐性拒绝。


(3)每个接口在每个方向上,只能应用一个ACL。


(4)标准ACL应该部署在距离分组的目的网络近的位置,扩展ACL应该部署在距离分组发送者近的位置。


三、配置基本ACL


图片.png


四、检查配置


执行命令display acl { acl-number | name acl-name | all },查看ACL的配置信息。


执行命令display time-range { all | time-name },查看时间段信息。


执行命令display acl hardware statistics [ acl-number | name acl-name ],查看报文匹配硬件ACL的统计信息