标准ACL和扩展ACL的基本差异
在家庭或小型办公网络中,很多人可能只用过路由器的简单屏蔽功能,比如禁止某台设备上网。但当你开始接触企业级网络配置时,就会发现访问控制列表(ACL)远不止“允许”或“拒绝”那么简单。尤其是扩展网络访问控制列表(Extended ACL),它和标准ACL(Standard ACL)之间的差别,直接影响到你能否精准控制流量。
标准ACL只能基于源IP地址进行过滤。举个例子,你想阻止192.168.1.100访问外网,用标准ACL就能搞定。但它没法区分这个IP是想访问网页、下载文件还是发邮件,一旦拦截,所有流量全被掐断。
扩展ACL能做什么
而扩展ACL的灵活性就强多了。它不仅能识别源IP,还能指定目标IP、使用的协议(如TCP、UDP、ICMP)、源端口和目标端口。这意味着你可以设置更精细的规则。比如:只允许财务部电脑访问服务器的3389远程桌面端口,但禁止访问其他服务;或者阻止某台电脑访问QQ的服务器端口,但不影响其浏览网页。
这种控制粒度,在公司网络中特别实用。想象一下,你不希望员工上班时间看视频,但又要保证他们能正常使用OA系统。用扩展ACL就可以只封杀视频网站常用的443端口中的特定流量,而不是一刀切地关闭整个HTTPS。
配置上的直观对比
从命令行来看,两者的写法也有明显区别。标准ACL的编号范围通常是1-99,而扩展ACL使用100-199。下面是一个允许主机192.168.2.50访问Web服务器的扩展ACL示例:
access-list 101 permit tcp 192.168.2.50 0.0.0.0 any eq 80这条规则的意思是:在ACL 101中,允许来自192.168.2.50的TCP流量,目标为任意地址,且目标端口为80(HTTP)。如果想进一步限制,还可以加上目标IP:
access-list 101 permit tcp 192.168.2.50 0.0.0.0 172.16.3.100 0.0.0.0 eq 80这就变成了只允许该主机访问IP为172.16.3.100的Web服务器。如果是标准ACL,根本无法写出这样的条件。
位置部署的影响
另一个容易被忽略的点是部署位置。标准ACL通常建议靠近目标,而扩展ACL更适合放在靠近源的位置。因为扩展ACL判断条件多,如果放在出口处,设备要处理大量不必要的匹配,反而影响性能。就像小区门口设岗检查身份证(标准ACL),谁都能进,再在楼栋口加一道门禁(扩展ACL),只让住户上楼,这样效率更高。
实际配置中,很多人一开始会把扩展ACL写得太宽泛,结果误拦了关键服务。比如写了拒绝某个IP的所有流量,却忘了DNS查询也需要UDP通信,导致网络看似通了,但域名解析不了。这时候就得回头一条条排查规则顺序——ACL是按从上到下的顺序执行的,第一条匹配了就不会继续往下看。