标签：deny 匹配 编号 HCIA ACL 步长 规则 原理

1、ACL技术概述

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

技术背景：需要一个工具，实现流量过滤

ACL概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具，能够对报文进行匹配和区分。 

2、ACL的基本概念及其工作原理

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

规则编号

规则编号（Rule ID）： 一个ACL中的每一条规则都有一个相应的编号。

步长（Step）: 是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

Rule ID分配规则： 系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

 通配符

1、子网掩码：配置地址时，直接配置子网掩码用于确定网络位个数

2、反掩码:OSPF配置时所用，和正掩码完全相反，0和1完全相反但意义相同

3、通配符：ACL所使用，0代表匹配，1代表不匹配，0和1可以不连续

ACL的分类与标识

10.1.0.0/17使用通配符掩码匹配出该网段所有的地址

0.0.127.255

192.168.1.0/24，使用通配符掩码匹配出所有的小于32的IP地址

0.0.0.31

基本ACL&高级ACL

高级ACL配置

acl 3000

rule 5 deny tcp source 10.1.1.1 0 destination 3.3.3.3 0 destination-port eq 23

规则五 拒绝 TCP协议 来自于源10.1.1.1 目的3.3.3.3    目标端口号23

ACL的匹配机制

ACL的匹配顺序及匹配结果

配置顺序（config模式）

系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。

ACL的匹配位置

入站 (Inbound)及出站 (Outbound)方向

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

调用ACL，在该接口入方向调入ACL2000

3、ACL的基础配置及应用

基本ACL的基础配置命令

高级ACL的基础配置命令

思考题

1、（单选）下列选项中，哪一项才是一条合法的基本ACL的规则？（C  ）

A、rule permit ip

B、rule deny ip

C、rule permit source any

D、rule deny tcp source any

2、高级ACL可以基于哪些条件来定义规则？

源目IP、协议类型、端口号等

----以上内容为誉天教育培训过程中所记，如有雷同纯属巧合----

标签：deny,匹配,编号,HCIA,ACL,步长,规则,原理
来源： https://blog.csdn.net/m0_45912044/article/details/123574995

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。