ACL（访问控制列表）

ACL（访问控制列表）

文章目录

• ACL（访问控制列表）
• • 一、ACL（access list）
  • • 1.ACL概论
    • 2.在接口应用的方向
    • 3.ACL的处理过程
    • 4.ACL作用
    • 5.ACL种类
    • 6.ACL应用原则
    • 7.ACL应用规则
  • 二、配置ACL的命令

一、ACL（access list）

1.ACL概论

读取源IP，目的IP，源端口以及目的端口（通讯四元素）

对TCP以及IP包头进行过滤

2.在接口应用的方向

出：已经过路由器的处理，正离开路由器接口的数据包

入：已到达路由器接口的数据包，将被路由器处理

列表应用到接口的方向与数据方向有关

3.ACL的处理过程

4.ACL作用

• 用来对数据包做访问控制（丢弃或者放行）
• 结合其他协议，用来匹配范围

5.ACL种类

• 基本ACL（2000-2999）：只能匹配源IP地址
• 高级ACL（3000-3999）：可以匹配通讯四元素

6.ACL应用原则

• 基本ACL：尽量用在靠近目的点
• 高级ACL：尽量用在靠近源的地方（可以保护带宽和其他资源）

7.ACL应用规则

1.一个接口的同一个方向，只能调用一个ACL
2.一个ACL里面可以有多个ruel规则，按照规则ID从小到大排序，从上往下依次执行
3.数据包一旦被某ruel匹配，就不再继续向下匹配
4.用来做数据包访问控制时，默认隐含放过所有

二、配置ACL的命令

[Huawei]acl number 2000 ## 创建acl2000

[Hlawei-acl-basic-2000]rule 5 deny source 192,169,1,1.0 ###拒绝源地址为192.160.10.1 的流量，0代表仅此一台，5是这条规则的序号（可不加）

[Huawei]interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ## 接口出方向调用acl2000，outbound代表出方向，inbound代表进入方向

[Huawei-GigabitEthernet0/0/1]undo shutdown

[Huawei]acl number 2001 ##进入ACL2000列表

[Huawei-acl-basic-2001lrule permit source 192.168.1.0 0.0.0.255 #tpermit代表允许，source代表来源，掩码部分为反掩码

【Huawei-acl-basic-2001】rule deny source any ###拒绝所有访问，any代表所有0.0.0.0 255.255.255.255 或者 rule deny

【Huawei】interface GigabitEthernet 0/0/1#进入出口接口

[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei-GiqabitEtherneto/0/1jtraffic-filter outbound acl 2001

[Huawei]acl nmuber 3000 ##拒绝tcp为高级控制，所以3000起

[Huwei-acl-adv-3000]rule deny icmp source 192.168.1.00.0.0.255destination192.168.3.10#拒绝Ping

[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination192.168.3.10destination-port eq 80 ###destination代表目的地地址，destination-port代表目的端口号，80可用www代替

[Huawei-acl-adv-3000]rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80

[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 #拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2

【Huawei-acl-adv-3000】dis this

[Huawei]interface g0/0/0

Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound

【Huawei】 display acl 3000

[Huawei]acl nmuber 3000

[Huawei-acl-adv-3000]dis this

[Huawei]undo acl number 3000
###删除整个ACL