在配置模式下配置acl,可以应用下列访问控制规则:
1 源/目的ip 地址和掩码
2 tcp 或udp 的源/目的端口号
3 icmp 类型和代码
访问控制策略
acl 的访问控制策略包括:
1 permit(访问允许)
2 deny(访问拒绝)
绑定acl
配置acl 以后,需要在以太网接口配置模式或share-group 配置模式下,将acl 绑定到端口或share-group 下。这样,从该接口或该share-group 的成员接口进入的数据如果匹配了以上定义的访问控制规则,系统就按照为该数据流配置的acl 策略处理数据。
acl 服务
缺省状态下,系统的acl 服务(access-list service)是禁用的。把acl 绑定到以太网接口或share-group 之前,需要使能系统的acl 服务。
acl 的优先级
为端口或share-group 绑定acl 时,优先级规则如下:
1 后绑定的acl 具有较高的优先级
2 所有acl 的优先级都低于qos 中配置下发的策略
3 如果某种报文匹配了几条acl 且这几条acl 的访问规则是冲突的,则优先级高的acl 所配置的访问规则生效
一、缺省配置信息
二、配置acl的步骤
配置acl 的步骤
根据访问控制需求设定不同的访问控制规则和访问控制策略,重复步骤3 可以配置多条acl。
在配置模式下使用no access-list 命令可以删除指定的或所有的acl。
三、绑定acl的步骤
在以太网接口或share-group 上绑定acl 之前,需要先绑定流模板(profile),acl策略所关心的访问控制规则应包括在该流模板定义的范围之内。
一般情况下,系统缺省提供的流模板user-default 所定义的字段已经满足acl 的要求,所以可以直接使用流模板user-default。
有关流模板的介绍请参考“配置qos”章的“配置流分类”节。
绑定acl 的步骤
重复步骤3 可以绑定多条acl。
在接口配置模式或share-group 配置模式下使用no access-list 命令可以取消指定的acl 与接口或share-group 的绑定。