第八节--策略

ACL——访问控制列表

配置ACL的广播设备根据事先制定好的规则，然后对经过该设备的流量按照对应的规则进行匹配，对匹配上的流量执行相应的动作

ACL的功能：

1.访问控制：

允许permit

拒绝deny

抓取流量：ACL只匹配流量，至于具体的动作将和其他协议或者一些服务联合起来使用

ACL访问控制列表的匹配原则——自上而下，逐一匹配，一旦匹配上则不再向下匹配

华为默认ACL列表末尾隐含一条允许所有的指令(不做处理)

思科默认ACL列表末尾隐含一条拒绝所有的指令

ACL的分类

基础的ACL：仅关注数据包的源IP地址（2000~2999）

高级的ACL：除了关注数据包中的源IP地址，还会关注数据包中的目标IP、端口号等等。（3000~3999）

用户自定义ACL：

ACL的配置就是在路由器的接口，并且ACL的配置需要区分流量的流向（流入或者流出）

[r1]acl ?

  INTEGER<2000-2999>  Basic access-list(add to current using rules)

  INTEGER<3000-3999>  Advanced access-list(add to current using rules)

  INTEGER<4000-4999>  Specify a L2 acl group

  ipv6                ACL IPv6

  name                Specify a named ACL

  number              Specify a numbered ACL

配置ACL

1.[r1]acl 2000——创建一个ACL列表

2.给ACL列表写规则

[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0——相当于拒绝

192.168.1.3这一个IP

0.0.0.0——通配符：0代表不可变，1代表可变（32为二进制构成）

192.168.1.3 ——0.255.0.255（192.x.1.x）

3.[r1-GigabitEthernet0/0/0]traffic-filter ?

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000（接口调用ACL列表）

需要注意流量的流向，inbound流入，outbound流出

4.[r1]display acl 2000——查看ACL的参数表

Basic ACL 2000, 1 rule

Acl's step is 5

 rule 5 deny source 192.168.1.3 0

注意：基础ACL的配置位置，尽量靠近目标，避免误伤

5.步长值（ACL列表，默认步长值为5）

另一方面，为了便于规则之间插入一些规则

6.[r1-acl-basic-2000]Undo rule 10——删除规则

高级acl的调用位置尽量靠近源，避免资源的浪费（同时因为高级的acl，关注源也关注目标，所以不会造成误伤）

7.[r1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0

拒绝1.3访问3.2所有tcp服务

[r1-acl-adv-3000]rule deny icmp source 192.168.1.3 0 destination 192.168.3.2 0

8.[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ——删除接口的调用

配置

Acl number 3001

[r2-acl-adv-3001]rule deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 de

stination-port eq 23（代表服务为Telnet）

——拒绝源为192.168.2.1目标为192.168.2.2并且访问服务为telnet服务的流量（访问目标端口号为23的流量）