ACL (访问控制列表)
一.ACL概述
简而言之:用于过滤接口的数据包,根据规则对数据包进行过滤,要么放行,要么丢弃。
二.ACL类型
类型 | 范围 | 匹配范围 |
---|---|---|
基本ACL | 2000-2999 | 只匹配源IP地址,尽量用在靠近目的点 |
高级ACL | 3000-3999 | 可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段,尽量用来靠近源的地方(可以保护带宽和其他资源) |
二层ACL | 4000-4999 | 根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。 |
三.ACL应用规则
1.一个接口的同一个方向只能调用一个acl
2.一个acl可以有多个rule,根据规则ID,从小到大排序,从上往下,依次执行。
3.数据包一旦被某个rule匹配,就不在往下匹配。
4.华为设备默认放通所有
四.工作原理
从上往下,依次匹配,匹配即停止
五.ACL相关操作命令
基本ACL
acl number 2001 //进入acl 2001 列表
rule permit source 192.168.1.0 0.0.0.255 //permit允许 source代表来源 掩码部分为反掩码
rule deny source any // 拒绝所有访问 any代表所有
int g0/0/1 //进入接口
ip address 192.168.2.254 24 //配置IP地址
traffic-filter outbound acl 2001 //在g0/0/1接口调用acl协议
高级acl
acl number 3000 //拒绝tcp为高级控制,所有3000起
rule deny icmp source 192.168.1.0 .0.0.0.255 destination 192.168.3.1 0 //拒绝192.168.1.0 ping 192.168.3.1 0为一台主机
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80 //允许192168.1.3向192.168.3.1发送http请求
rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 //拒绝源地址为192.168.10.0访问FTP服务器12.0.0.2
display acl 3000 //显示acl3000配置
int g0/0/0
undo traffic-filter inbound //在接口上取消acl应用
六.实验操作
要求:
仅允许pc1访问192.168.2.0 /24
禁止192.168.1.0 /24 2网络ping web服务器
仅允许client访问web服务器的www服务
第一步配置IP地址(同理配置pc2,pc3,cliebt1,client2,AR1,server1)
第二步
第三步
第四步