网络设备的 ACL 配置,讲真,算是老网工的拿手好戏了。访问列表(Access List)的精髓就在于——能拦你不想要的流量,放你想放的。标准 ACL 看源地址,适合简单场景,扩展 ACL 就更牛了,源、目标 IP、端口号都能控,想怎么配就怎么来。
ACL 的规则是按顺序比对的,找到了就不再往下看。所以啊,规则顺序得安排好,先过滤该挡的,再放行该通的。别忘了每个 ACL 都有个默认拒绝,没明确放行的,全给你拦住。
应用方向也挺讲究:入站ACL 是先查 ACL 再路由,出站ACL 是先路由再查 ACL,别弄反了。标准 ACL 适合贴近目标放,扩展 ACL 贴近源头最好,这样更高效。
配置上也不复杂,比如标准 ACL 这么写:
access-list 10 permit 192.168.1.0 0.0.0.255interface把 ACL 挂上去,不然就是写了个寂寞。
控制 Telnet 也能靠 ACL 搞定。比如你只想让某几台机器能远程登录,就写个允许的列表,绑到 VTY 线上,安全性立马提升不少。
嗯,ACL 的玩法还挺多的,如果你用过Redis 的 ACL、Zookeeper 的 ACL,你会发现它们思路也差不多,都是“谁能干什么”的权限控制。
如果你手上有需要过滤 IP、协议、端口的场景,ACL 会是个顺手的工具,灵活、实用、配置也不难。