文档介绍
访问控制列表 ISSUE 1.0 学习完本课程,您应该能够: 理解访问控制列表的基本原理 IP包过滤技术介绍 对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表的作用 访问控制列表可以用于防火墙; 访问控制列表可以用于Qos(Quality of Service),对数据流量进行控制; 在DCC中,访问控制列表还可用来规定触发拨号的条件; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 访问控制列表是什么? 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP/UDP): 如何标识访问控制列表? 标准访问控制列表 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下: acl acl-number [ match-order auto | config ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 如何使用反掩码 反掩码和子网掩码相似,但写法不同: 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用,可以描述一个地址范围。 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。 扩展访问控制列表的配置命令 配置TCP/UDP协议的扩展访问列表: rule { normal | special }{ permit | deny } { tcp | udp } [source source-addr source-wildcard | any ] [source-port operato