Существует два типа ACL-списков Cisco для IPv4: стандартные и расширенные ACL-списки.
Примечание. ACL-списки Cisco для IPv6 аналогичны расширенным ACL-спискам для IPv4 и будут описаны в следующем разделе.
Стандартные ACL-списки
Стандартные ACL-списки можно использовать для разрешения или отклонения прохождения трафика только на основе IPv4-адресов источника. Назначение пакета и порты, участвующие в передаче данных, не оцениваются. В примере на рис. 1 разрешён весь трафик от 192.168.30.0/24. Из-за неявного правила «deny any» в конце списка данный ACL-список блокирует весь остальной трафик. Стандартные ACL-списки создаются в режиме глобальной конфигурации.
Расширенные ACL-списки
Расширенные ACL-списки фильтруют IPv4-пакеты, исходя из нескольких признаков:
- тип протокола;
- IPv4-адрес источника;
- IPv4-адрес назначения;
- TCP или UDP порты источника;
- TCP или UDP порты назначения;
- дополнительная информация о типе протокола для оптимизированного контроля.
На рис. 2 ACL-список 103 разрешает трафику с любого адреса сети 192.168.30.0/24 идти в любую IPv4-сеть, если порт назначения — 80 (HTTP). Расширенные ACL-списки создаются в режиме глобальной конфигурации.
Команды для ACL-списков описываются в следующих разделах.
Примечание. Стандартные и расширенные ACL-списки рассматриваются более подробно в других разделах данной главы.