ACL/访问列表

1.作用:管理网络流量

2.分类:源IP地址,目标IP地址,源端口,目标端口,协议号

3.动作:permit和deny

4.acl类型:标准和扩展

(1)标准ACL只使用源IP地址

(2)扩展访问控制列表使用所有参数

主要作用：控制数据包，对其进行过滤。

还可以完成：QOS，DDR，路由过滤；

标准ACL：1–99,(1300–1999)

扩展ACL：100–199,(2000–2699)

标准访问列表 要放在离目标近的一端,因为只能设置源IP参数

扩展访问列表 要放在离源近的一端,因为可以设置目标IP等参数,可避免浪费带宽

ACL不仅可以限制流量,还可以设置ip列表,让其他服务来调用,例如NAT,route-map

ACL匹配规则：递归匹配(从第1条开始往下匹配),如果说没有一条规则能匹配,cisco的设备会deny这个数据包

每一个接口都有inside和outside方向(进和出)

上图所示,R1去R2的时候,这个方向就是outside,R2去R1的时候,对于E1接口来说,就是inside方向

在一个接口的一个方向只能应用一个acl列表

Access-list 1 deny 192.168.1.0 0.0.0.255 这条命令是说,拒绝192.168.1.0整个网络

Access-list 1 deny 192.168.11.1 拒绝这个IP

Ip access-group 1 out 在接口上调用列表

ACL只会对经过的流量起作用.对自己发起流量的不起作用

ACL还有一种,叫做自反ACL

还是拿上图来说,P1不能主动访问P2,P2要能访问P1,这个时候自反ACL就有作用了

可以实现P2访问P1的时候在R1上可以生成一条ACL让P2和P1通讯

配置过程

1.跟踪流量

2.生成自反ACL

3.调用自反ACL

创建自反ACL只能使用扩展命名来定义列表

时间ACL

可以根据时间来限制流量