ACL
acl概念
acl概念
ACL(Access Control List,访问控制列表)是一种用于控制网络访问权限的技术。
它在计算机网络中扮演着重要的角色,用于定义和管理对资源的访问。
ACL 的主要目的是通过设置一系列规则来决定哪些用户或设备可以访问特定的资源或执行特定的操作。
这些规则可以基于各种条件进行定义,例如 IP 地址、MAC 地址、协议类型、端口号等。
ACL 可以应用于网络设备(如路由器、交换机)或操作系统(如服务器、防火墙)上,以实现对网络流量的精细控制。
ACL 的核心概念包括以下几个方面:
1. 规则:ACL 由一系列规则组成,每个规则定义了允许或拒绝的访问条件。
2. 匹配顺序:ACL 中的规则按照特定的顺序进行匹配,一旦匹配成功,就会执行相应的操作(允许或拒绝)。
3. 方向:ACL 可以针对进入或外出的网络流量进行控制。
4. 操作类型:根据匹配结果,ACL 可以执行允许或拒绝操作,以决定是否允许流量通过。
ACL 在网络安全中起着重要的作用,它可以帮助组织保护其网络资源,防止未经授权的访问、攻击和威胁。
通过合理配置 ACL,可以提高网络的安全性、降低风险,并实现对网络资源的精细化管理。
希望以上内容对你有所帮助!如果你对 ACL 有更多的疑问,请随时提问。
acl 规则
ACL规则什么是ACL规则?ACL(Access Control List)是访问控制列表的缩写,它是一种用于管理网络设备(如路由器、交换机、防火墙等)上的访问控制策略的技术。
ACL规则定义了允许或禁止通过网络设备的流量。
它基于一系列的条件和动作来控制网络流量的流入和流出。
ACL规则的作用ACL规则的作用是保护网络设备和网络资源的安全。
通过配置ACL规则,可以限制特定用户或特定IP地址的访问权限,防止未经授权的访问和攻击。
ACL规则可以用于控制网络流量的源和目的地,限制特定协议或端口的使用,实施流量过滤和防火墙策略。
ACL规则的分类ACL规则可以分为两种类型:标准ACL和扩展ACL。
标准ACL标准ACL是最简单的ACL类型,它只能基于源IP地址来过滤流量。
标准ACL适用于一些简单的网络策略,例如限制特定IP地址的访问权限。
标准ACL的规则是按照编号顺序执行的,当匹配到第一个规则时,后续的规则将不再生效。
扩展ACL扩展ACL比标准ACL更加灵活,它可以基于源IP地址、目的IP地址、协议类型、端口号等多个条件来过滤流量。
扩展ACL适用于更复杂的网络策略,可以实现更精细的流量控制和安全策略。
扩展ACL的规则也是按照编号顺序执行的,但当匹配到一条规则后,后续的规则仍然会继续执行。
ACL规则的配置与应用为了配置和应用ACL规则,我们需要了解一些基本的概念和步骤。
1. 确定ACL规则的目的在配置ACL规则之前,我们需要明确规定ACL的目的是什么。
是为了限制某些用户的访问权限,还是为了保护网络资源的安全?明确目的可以帮助我们更好地定义ACL规则。
2. 编写ACL规则根据ACL规则的目的,我们可以开始编写ACL规则。
ACL规则通常包括以下几个方面:•源IP地址:指定允许或禁止的源IP地址范围。
•目的IP地址:指定允许或禁止的目的IP地址范围。
•协议类型:指定允许或禁止的协议类型,如TCP、UDP、ICMP等。
•端口号:指定允许或禁止的端口号范围。
ACL技术详解
•ACL :Access Control List ,访问控制列表ACL••ACL由一条或多条规则组成•每条规则必须选择动作:允许或拒绝•每条规则都有一个id 序列号(默认=5,间隔=5)•ACL 工作原理:序列号越小越先进行匹配•只要有一条规则和报文匹配,就停止查找,称为命中规则•查找完所有规则,如果没有符合条件的规则,称为未命中规则•ACL创建后,必须将其应用到某个接口或其他技术内才会生效•应用在接口时必须选择方向:入站或出站(相对设备来判断)•每个接口在每个方向上只可应用一个ACL •不能过滤由设备自己产生的数据•••ACL类型:分为数字型ACL和命名型ACL。
•192.168.0.1 0.0.0.0/0匹配一个主机地址192.168.0.0 0.0.0255匹配一个网段正掩码、反掩码、通配符区别:192.168.0.1 0.0.0.254匹配网段内奇数地址192.168.0.0 0.0.0.254匹配网段内偶数地址any=0.0.0.0 255.255.255.255匹配所有地址•acl 2000创建一个基本ACL rule 5deny/permit source 192.168.1.0 0.0.0.255配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内的所有流量acl 3000创建一个高级ACLrule 5deny/permit tcp source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0destination-port eq 80配置ACL 的规则:拒绝或允许源地址为192.168.1.0/24网段内到8.8.8.8的HTTP 流量traffic-filter inbound/outbound acl 2000在接口调用ACL 过滤流量display acl 2000验证ACLdisplay traffic-filter applied-record查看设备上所有基于ACL 调用情况•ACL配置:••••基本ACL 尽量调用在离目标最近的出站接口•高级ACL 尽量调用在离源头最近的入站接口••ACL 接口调用方向的建议:。
简述ACL的作用及应用
简述ACL的作用及应用ACL全称为Access Control List(访问控制列表),是一种用于控制网络设备的访问权限的技术。
ACL常常用于路由器、防火墙和其他网络设备上,通过配置ACL可以对网络流量进行过滤和控制,从而实现对网络资源的保护和管理。
ACL的作用主要包括以下几个方面:1. 控制网络访问权限:ACL可以根据预先设置的规则对网络流量进行过滤,从而限制特定的用户或主机对网络资源的访问。
比如可以设置ACL规则禁止某些特定的IP地址访问内部网络,或者限制某些用户只能访问特定的网络服务。
2. 提高网络安全性:通过ACL可以控制网络中的数据流动,从而减少网络攻击和恶意行为带来的风险。
ACL可以在网络边界处对流量进行过滤,防止未经授权的用户或主机进入内部网络,同时也可以限制内部网络用户对外部网络资源的访问,避免泄露敏感信息。
3. 优化网络性能:ACL可以对网络流量进行控制和限制,从而避免网络拥堵和带宽浪费的问题。
通过ACL可以限制某些不必要的流量进入网络,或者优化网络流量的分发,从而提高网络的整体性能和稳定性。
4. 达成合规要求:部分行业(如金融、医疗等)需要严格遵守相关的合规要求,ACL可以帮助网络管理员实施相关的网络访问控制策略,保证网络安全和合规性。
在实际应用中,ACL主要用于网络设备的配置和管理,常见的应用场景包括:1. 防火墙配置:防火墙是网络安全的重要组成部分,ACL可以用于配置防火墙的访问控制策略,限制网络上的数据流动。
例如,可以通过ACL阻止恶意流量的进入,或者限制内部网络用户对外部网络资源的访问。
2. 路由器配置:路由器是网络中的重要设备,ACL可以用于配置路由器的访问控制策略,限制特定的IP地址或网络对路由器的访问权限。
这样可以提高网络的安全性和稳定性,避免未经授权的访问对网络造成影响。
3. 交换机配置:ACL也可以用于配置交换机的访问控制策略,限制网络中不同子网之间的访问权限。
acl规则编号
acl规则编号【实用版】目录1.ACL 规则简介2.ACL 规则编号的作用3.ACL 规则编号的构成4.ACL 规则编号的示例5.ACL 规则编号的实际应用正文一、ACL 规则简介ACL(Access Control List,访问控制列表)是一种用于控制网络通信访问的技术,通常用于防火墙、路由器等设备中,以限制特定网络流量的访问。
ACL 规则用于定义允许或拒绝特定网络流量的访问策略。
二、ACL 规则编号的作用ACL 规则编号是一种唯一标识符,用于区分不同的 ACL 规则。
在网络设备中,通常会有多个 ACL 规则,每个规则用于控制不同类型的网络流量。
通过使用不同的规则编号,可以方便地管理和配置 ACL 规则。
三、ACL 规则编号的构成ACL 规则编号通常由数字和字母组成,格式为“数字。
字母”。
数字部分用于表示规则的优先级,字母部分用于表示规则的类型。
优先级和类型的具体定义可能因厂商和设备而异。
四、ACL 规则编号的示例例如,在一个网络设备中,可能有如下 ACL 规则:- 规则 1:允许从 192.168.1.0/24 网络访问 172.16.0.0/16 网络的 SSH 服务- 规则 2:拒绝从 192.168.1.0/24 网络访问 172.16.0.0/16 网络的 HTTP 服务对应的 ACL 规则编号可能为:1.SSH 和 2.HTTP。
五、ACL 规则编号的实际应用在实际网络环境中,ACL 规则编号对于管理和配置网络访问控制非常重要。
通过使用不同的规则编号,网络管理员可以轻松地配置和调整 ACL 规则,以满足不同的网络访问需求。
第1页共1页。
acl顺序规则
acl顺序规则【原创实用版】目录1.ACL 顺序规则概述2.ACL 顺序规则的具体内容3.ACL 顺序规则的实际应用4.ACL 顺序规则的优缺点分析正文【ACL 顺序规则概述】ACL(访问控制列表)顺序规则是一种用于控制网络通信访问的技术,通常用于防火墙、路由器等设备中,以限制特定网络流量的访问。
ACL 顺序规则是一种基于条件的访问控制策略,它可以根据设定的条件来允许或拒绝特定的网络通信。
【ACL 顺序规则的具体内容】ACL 顺序规则通常包括以下三个要素:1.源地址:即发起通信的设备的 IP 地址。
2.目的地址:即接收通信的设备的 IP 地址。
3.传输协议:即通信所使用的协议,如 TCP、UDP 等。
ACL 顺序规则的组合条件通常采用“与”、“或”等逻辑运算符,例如,可以设定“源地址为 192.168.1.0/24 网段且目的地址为 172.16.0.0/16 网段”的通信,或者“源地址为 192.168.1.0/24 网段或目的地址为172.16.0.0/16 网段”的通信。
【ACL 顺序规则的实际应用】ACL 顺序规则广泛应用于企业网络、数据中心等场景,它可以用来限制外部对内部网络的访问,保护内部网络的安全;也可以用来限制特定应用程序或服务的访问,确保网络资源的合理使用。
【ACL 顺序规则的优缺点分析】ACL 顺序规则的优点在于它可以根据需要灵活地设置访问条件,提供较高的网络安全性。
同时,ACL 顺序规则可以基于网络设备的硬件实现,具有较快的处理速度。
然而,ACL 顺序规则也有其缺点。
首先,ACL 顺序规则的设置和管理较为复杂,需要有一定的网络知识和技能。
其次,ACL 顺序规则的处理能力有限,对于复杂的网络攻击可能无法有效防御。
ACL的基本原理功能与局限性
ACL的基本原理功能与局限性ACL,即访问控制列表(Access Control List),是一种用于控制用户或主机对网络资源的访问权限的机制。
ACL的基本原理是根据事先设定的规则列表来判断并允许或拒绝一些用户或主机对资源的访问。
ACL通常是应用于路由器、防火墙和操作系统等网络设备和系统中。
ACL的功能主要包括以下几点:1.访问控制:ACL可以根据指定的规则,对用户或主机的访问进行限制,以保护网络资源的安全性。
可以通过ACL来限制一些用户或主机对一些资源的读写、执行等操作。
2.提高网络性能:ACL可以根据事先设定的规则过滤掉不符合要求的数据包,从而减少网络流量,提高网络的传输效率。
3.简化管理:ACL可以通过集中管理的方式,对用户或主机的访问权限进行统一配置和管理,从而减少了管理员的工作量和管理成本。
4.支持网络流量控制:ACL可以根据指定的规则,对网络流量进行控制,限制一些特定用户或主机的带宽使用,避免网络拥堵和资源浪费。
然而,ACL也存在一定的局限性:1.限制细粒度:ACL通常是基于IP地址、端口、协议等简单条件来进行判断的,局限于传统的四层网络模型,缺乏对应用层和用户身份识别的支持,因此无法实现更细粒度的访问控制。
2.管理复杂性:随着网络规模的扩大和复杂性的增加,ACL的配置和管理会变得非常繁琐和复杂,容易出现配置错误和安全漏洞的问题。
3.无法预测未知攻击:ACL通常是基于已知的攻击方式和威胁进行配置和管理的,对于未知的新型攻击和漏洞,ACL很难提供有效的保护,需要不断升级和更新规则。
综上所述,ACL是一种基于规则列表的访问控制机制,通过控制用户或主机对网络资源的访问权限,提高网络安全性和性能,简化管理,支持流量控制。
然而,ACL也存在限制,如限制细粒度、管理复杂性和无法预测未知攻击等问题。
因此,在实际应用中,需要综合考虑ACL的优缺点,结合其他安全机制来提供全面的网络安全保护。
acl基本原理
acl基本原理ACL(Access Control List)即访问控制列表,是一种常用的安全控制机制,用于管理系统中的权限和访问控制。
ACL基本原理主要包括以下几个方面:用户认证、授权访问、安全策略和权限管理。
1. 用户认证用户认证是ACL的第一步,是确定用户身份的过程。
常见的用户认证方式包括密码验证、数字证书、生物特征识别等。
通过用户认证,系统可以确定用户的身份和权限等级,为后续的访问控制提供基础。
2. 授权访问授权访问是ACL的核心步骤,决定用户可以访问的资源和操作。
访问控制规则通常基于用户的权限等级和资源的安全级别来进行判断。
例如,某些用户可能只能读取某些文件,而不能修改或删除;某些用户可能具有管理员权限,可以对系统进行操作和管理。
通过授权访问,系统可以确保用户只能进行合法的操作。
3. 安全策略ACL中的安全策略用于定义对系统资源的安全访问规则。
安全策略包括访问控制列表、访问策略和安全策略管理等。
通过安全策略,系统可以对各种资源的访问进行细粒度的控制,提高系统的安全性和隐私保护。
4. 权限管理ACL中的权限管理主要包括对用户的权限分配和权限维护。
权限管理涉及到用户的角色、组织结构和资源的安全级别等因素。
在权限管理中,管理员可以根据需要调整用户的权限,包括新增、删除或修改用户的权限等操作。
通过权限管理,系统可以保证各用户的权限符合其角色和需求。
综上所述,ACL基本原理是通过用户认证、授权访问、安全策略和权限管理来实现系统的访问控制和安全管理。
ACL的应用广泛,例如操作系统、网络安全、数据库管理等领域。
通过ACL,系统可以确保用户只能访问其应有权限的资源,保护系统的安全性和私密性。
同时,ACL还可以提供审计功能,记录用户的操作行为,方便管理和追踪。
ACL是什么-ACL有什么用-
ACL是什么?ACL有什么用?
ACL 是什么
ACL的全称是Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。
它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。
它被设计为UNIX文件权限管理的一个补充。
ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限。
本文的演示环境为ubuntu 16.04。
ACL有什么用
既然是作为UGO权限管理的补充,ACL自然要有UGO办不到或者很难办到的本事,例如:
可以针对用户来设置权限
可以针对用户组来设置权限
子文件/目录继承父目录的权限
检查是否支持ACL
ACL需要Linux内核和文件系统的配合才能工作,当前我们能见到的大多数Linux发行版本默认都是支持的。
但最好还是能够先检查一下:
sudo tune2fs -l /dev/sda1 |grep"Default mount options:"
Defaultmount options: user_xattr acl
我们能够看到默认情况下(Default mount options:)已经加入acl 支持了。
如何设置ACL
我们可以使用setfacl和getfacl命令来设置或观察文件/目录的acl权限。
setfacl
参数不多,直接列出来了:
getfacl
getfacl 文件/目录名。
访问控制列表(ACL)的配置
目录
• ACL的基本概念 • ACL的配置步骤 • ACL的常见应用场景 • ACL配置的注意事项 • ACL的发展趋势与未来展望 • 案例分析
01 ACL的基本概念
定义与作用
定义
访问控制列表(ACL)是一种安全机制 ,用于对网络设备的数据包进行过滤 ,以控制对网络资源的访问。
网络设备访问控制
路由器访问控制
通过ACL配置,可以限制对路由器特定端口的访问,保护路 由器免受非法访问和恶意攻击。
交换机端口访问控制
在交换机上配置ACL,可以限制特定MAC地址或IP地址的计算 机访问特定的端口,防止未经授权的设备接入网络。
服务器资源保护
文件服务器保护
通过ACL配置,可以限制用户对服务器上特定文件夹或文件的访问,确保敏感数据不被非法获取或篡 改。
规则的冗余与冲突
要点一
总结词
避免规则的冗余和冲突是ACL配置的重要考虑因素。
要点二
详细描述
在配置ACL时,需要避免规则的冗余和冲突。冗余的规则 会增加配置的复杂性和维护成本,而冲突的规则会导致数 据包的处理结果不确定。为了避免冗余和冲突,需要对每 一条规则进行仔细的审查和测试,确保其作用明确且不会 与其他规则产生冲突。同时,可以采用一些工具和技术来 检测和解决规则的冗余和冲突问题。
05 ACL的发展趋势与未来展 望
ACL技术的演进
传统ACL
基于端口和IP地址的访问控制,适用于简单的网络环 境。
扩展ACL
增加了协议和端口的匹配,能够实现更精细的访问控 制。
基于上下文的ACL
结合网络流量的上下文信息,实现更智能的访问控制。
ACL在云计算中的应用
01
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
01-07 ACL配置Page 1 of 18本章节目录7 ACL配置7.1 访问控制列表简介7.1.1 访问控制列表概述7.1.2 访问控制列表的分类7.1.3 访问控制列表的匹配顺序7.1.4 访问控制列表的步长设定7.1.5 基本访问控制列表7.1.6 高级访问控制列表7.1.7 ACL对分片报文的支持7.1.8 ACL生效时间段7.1.9 ACL统计7.2 配置访问控制列表7.2.1 建立配置访问控制列表的任务7.2.2 创建ACL生效时间段7.2.3 配置ACL描述信息7.2.4 配置基本访问控制列表7.2.5 配置高级访问控制列表7.2.6 配置ACL的步长7.2.7 使能ACL统计7.2.8 检查配置结果7.3 维护访问控制列表7.4 ACL基本配置举例插图目录插图目录图7-1 ACL配置案例组网图表格目录表格目录表7-1 ACL分类表7-2 高级访问控制列表的操作符意义表7-3 端口号助记符表7-4 ICMP报文类型助记符7 ACL配置关于本章本章描述内容如下表所示。
标题内容7.1 访问控制列表概述了解ACL的基本概念和相关参数。
7.2 配置访问控制列表配置基本访问控制列表、高级访问控制列表。
举例:ACL基本配置举例7.3 维护访问控制列表清除访问控制列表和ACL统计计数器。
7.4 ACL基本配置举例举例说明ACL的基本配置。
7.1 访问控制列表简介本节介绍了ACL(Access Control List)的概念、分类和相关参数等。
具体包括内容如下:·访问控制列表概述·访问控制列表的分类·访问控制列表的匹配顺序·访问控制列表的步长设定·基本访问控制列表·高级访问控制列表·ACL对分片报文的支持·ACL生效时间段·ACL统计7.1.1 访问控制列表概述路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
ACL 通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
ACL本身只是一组规则,无法实现过滤数据包的功能;它只能标定某一类数据包,而对这类数据包的处理方法,需要由引入ACL的具体功能来决定。
在产品实现中,ACL需要与某些功能(如策略路由、防火墙、流分类等功能)配合使用,来实现过滤数据包等功能。
7.1.2 访问控制列表的分类按照ACL用途,ACL可以分为以下几种类型,具体如表7-1所示。
表7-1 ACL分类ACL类型数字范围基本的ACL(Basic ACL)2000~2999高级的ACL(Advanced ACL)3000~39997.1.3 访问控制列表的匹配顺序一个访问控制列表可以由多条“deny| permit”语句组成,每一条语句描述的规则是不相同,这些规则可能存在重复或矛盾的地方,在将一个数据包和访问控制列表的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
有两种匹配顺序:·配置顺序(config)·自动排序(auto)配置顺序配置顺序(config),是指按照用户配置ACL的规则的先后进行匹配。
缺省情况下匹配顺序为按用户的配置排序。
自动排序自动排序(auto)使用“深度优先”的原则进行匹配。
“深度优先”规则是把指定数据包范围最小的语句排在最前面。
这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.0.255则指定了一个网段:129.102.1.1~129.102.1.255,显然前者指定主机范围小,在访问控制规则中排在前面。
具体标准如下。
·对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;·对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
规则ID每条规则都有一个“规则ID”,在配置规则的时候,是不需要人为指定规则ID的,系统会自动为每一条规则生成一个“规则ID”。
规则ID之间会留下一定的空间,具体空间大小由“ACL的步长”来设定。
例如步长设定为5,ACL规则ID分配是按照5、10、15……这样来分配的。
在“配置顺序”的情况下:·如果配置规则的时候没有指定“规则ID”,则系统会根据“ACL步长”,按照用户配置规则的先后顺序,自动为规则分配规则编号。
例如:用户配置了3条没有指定“规则ID”的规则,如果ACL步长为5,则系统按照这3条规则的配置顺序为它们分别分配规则编号:5,10,15。
系统自动生成的规则ID从步长值起始。
比如:步长值是5,自动生成的规则ID从5开始;步长值是2,自动生成的规则ID从2开始。
这样做是为了便于用户在第一条规则前面插入新规则。
·如果配置规则的时候指定了“规则ID”,则会按照“规则ID”的位置决定该规则的插入位置。
例如系统现在的规则编号是:5、10、15。
如果指定“规则ID”为3,创建一条ACL规则,则规则的规则顺序就为:3、5、10、15,相当于在规则5之前插入了一条子规则。
因此,在“配置顺序”的情况下,系统会按照用户配置规则的先后顺序进行匹配。
但本质上,系统是按照规则编号的顺序,由小到大进行匹配,后插入的规则有可能先执行。
在“自动排序”的情况下,无法为规则指定“规则ID”。
系统会按照“深度优先”原则自动为规则分配规则编号。
指定数据包范围较小的规则将获得较小的规则编号。
系统将按照规则编号的顺序,由小到大进行匹配。
在“自动排序”情况下,系统会根据ACL步长自动分配规则编号,但用户无法插入规则。
使用display acl命令就可以看出是哪条规则首先生效。
显示时,列在前面的规则首先生效。
7.1.4 访问控制列表的步长设定设置规则组的步长通过命令step,可以为一个ACL规则组指定“步长”,步长的含义是:自动为ACL规则分配编号的时,规则编号之间的差值。
例如,如果步长设定为5,规则编号分配是按照5、10、15…这样的规则分配的。
缺省情况下,ACL规则组的步长为5。
当步长改变的时候,ACL规则组下面的规则编号会自动重新排列。
例如,本来规则编号为:5、10、15、20,如果通过命令step 2,把步长设定改为2,则规则编号变成:2、4、6、8。
如果本来规则编号不均匀分布,执行step命令后,规则会变为均匀分布。
例如,如果当前步长为5,规则编号为:1、3、10、12,通过命令step 2,把步长设定为2,则规则编号自动变成:2、4、6、8。
如果当前步长为2,规则编号为:1、3、10、12,通过命令step 2规则编号不发生变化,仍然是:1、3、10、12。
如果需要将该规则编号变为:2、4、6、8,可以先执行undo step命令将规则编号变成:5、10、15、20,再执行step 2命令,将规则编号变成:2、4、6、8。
恢复步长的缺省值通过undo step命令,可以把步长恢复为缺省设定,同时对规则编号进行重新排列。
undostep命令可以立刻按照缺省步长调整ACL子规则的编号。
例如:ACL规则组1,下面有4条规则:编号为1、3、5、7,步长为2。
如果此时使用undo step命令,则ACL规则编号变成:5、10、15、20,步长为5。
使用步长的作用使用步长设定的作用是:方便在规则之间插入新的规则。
例如配置好了4个规则,规则编号为:5、10、15、20。
此时希望能在第一条规则(即编号为5的规则)之前插入一条规则,则可以使用rule 1命令在规则5之前插入一条编号为1的规则。
7.1.5 基本访问控制列表基本访问控制列表只能使用源地址信息,做为定义访问控制列表的规则的元素。
通过“配置基本访问控制列表”中介绍的ACL的命令,可以创建一个基本的访问控制列表,同时进入基本访问控制列表视图,在基本访问控制列表视图下,可以创建基本访问控制列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分是不受影响的。
例如:先配置了一个ACL规则:[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 0然后再对这个ACL规则进行编辑:[Router-acl-basic-2001] rule 1 deny这个时候,ACL的规则变成:[Router-acl-basic-2001] rule 1 deny source 1.1.1.1 07.1.6 高级访问控制列表高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规则。
可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。
通过“配置高级访问控制列表”中介绍的ACL的命令,可以创建一个高级的访问控制列表,同时进入高级访问控制列表视图,在高级访问控制列表视图下,可以创建高级访问控制列表的规则。
对已经存在的ACL规则,如果采用指定ACL规则编号的方式进行编辑,没有配置的部分是不受影响的。
例如:先配置了一个ACL规则:[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0然后再对这个ACL规则进行编辑:01-07 ACL配置Page 11 of 18[Router-acl-adv-3001] rule 1 deny ip destination 2.2.2.1 0这个时候,ACL的规则则变成:[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0 destination 2.2.2.1 0只有TCP和UDP协议需要指定端口范围。
支持的操作符及其语法如下表。
表7-2 高级访问控制列表的操作符意义操作符及语法意义eq port-number 等于端口号port-numbergt port-number 大于端口号port-numberlt port-number 小于端口号port-numberrange port-number1 port-number2 介于端口号port-number1和port-number2之间在指定port-number时,对于部分常见的端口号,可以用相应的助记符来代替其实际数字,支持的助记符如下表。