acl访问控制列表

acl 访问控制列表

作用：

1. 抓取信息源，匹配路由，路由策略
2. 抓取数据流，数据过滤→默认允许所有-黑名单，数据选路，策略路由

分类：

1. 基本acl：2000-2999    只能匹配源，适合抓取路由
2. 高级acl：3000-3999    可以匹配五元组，更适合抓数据流
3. 基于接口：1000-1999
4. 基于二层mac地址：4000-4999
5. 自定义：acl  name  permit-to-VPN

特点：

1. 注：做访问控制时，一个接口的同一个方向，只能调用一个acl，traffic-filter（过滤） outbound acl 3000 // 接口调用acl 3000出方向
2. 注：一个acl里面可以有多个rule规则，从上往下依次执行，匹配顺序
3. 注：数据包一旦被某rule规则匹配，就不再继续向下匹配，→先精细后宽泛
4. 注：用来做数据包访问控制时，默认隐含放行所有（华为设备）默认黑名单

允许个别，拒绝所有=白名单→cisco

拒绝个别，允许所有=黑名单→huawei

做数据过滤需要关心数据流方向，与路由传递方向相反

原则：

1. 离访问源越近效果越好，影响范围越小

acl number 3000 

 rule 5 permit tcp source 192.168.1.0 0.0.0.255 source-port eq 68(dhcp client) destination 12.1.1.1 0 destination-port eq 67(dhcp server)