ACL访问控制列表

目录

一：ACL概述

1.ACL介绍

2.访问控制列表的工作原理

3.访问控制列表的处理过程

4.ACL种类

5.ACL的应用原则

6.ACL配置

(1）基本acl

（2）高级acl

二：实例说明

---

一：ACL概述

1.ACL介绍

ACL，是Access Control List的简写，中文名称叫做“访问控制列表”。它是由一系列条件规则（即描述报文匹配条件的判断语句）组成， 这些条件规则可以是报文的源地址、目的地址、端口号等，是一种应用在网络设备各种软硬接口上的的指令列表。读取第三层，第四层包头信息，根据预先定义好的规则对包进行过滤。

 通信四元素：源IP地址       目的IP地址      源端口      目的端口

通信五元素： 源IP地址       目的IP地址     源端口       目的端口      协议

2.访问控制列表的工作原理

入：已到达路由器接口的数据包，将被路由器处理

出：已经过路由器的处理，正离开路由器接口的数据包

列表应用到接口的方向与数据方向有关

 3.访问控制列表的处理过程

acl在接口上定义N条规则过滤数据包，要么放行要么丢弃。匹配规则，从上往下依次匹配，匹配即停止。思科隐含：所有都拒绝。华为隐含：所有都同意。

（1）一个接口的同一个方向，只能调用一个acl

（2）一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行

（3）数据包一旦被某rule匹配，就不再继续向下匹配

（4）用来做数据包访问控制时，默认隐含放过所有(华为设备)

 4.ACL种类

基本acl (2000-2999) : 只能匹配源ip地址。

高级acl (3000-3999) : 可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。

二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802,1优先级、一层协议类型等二层信息制定规则。

5.ACL的应用原则

基本ACL，尽量用在靠近目的点。高级ACL，尽量用在靠近源的地方（可以保护宽带和其他资源）

6.ACL配置

(1）基本acl

[Huawei] acl number 2000          创建acl 2000

[Huawei-acl-basic-2000] rule 5 deny source 192,168.1.1 0      拒绝源地址为192,168,1.1的流量，0代表仅此一台，5是这条规则的序号 (可不加)

[Huawei] interface GigabitEthernet 0/0/1

[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 2000       ###接口出方向调用acl 2000，outbound代表出方向，inbound代表进入方向
[Huawei-GigabitEtherneto/0/1] undo sh
[Huawei] acl number 2001        进入ac1 2001 列表

[Huawei-acl-basic-2001] rule permit source 192.168.1.0 0.0.0.255       permit代表允许，source代表来源，掩码部分为反掩码

[Huawei-acl-basic-2001] rule deny source any          拒绝所有访问，any代表所有 0.0.0.0 255.255.255.255
[Huawei] interface GigabitEthernet 0/0/1     进入出口接口

[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24

[Huawoi-GigabitEthernet0/0/1] traffic-filter outbound acl 2001

（2）高级acl

[Huawei] acl nmuber 3000        拒绝tcp为高级控制，所以3000起

[Huawei-acl-ady-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0

拒绝ping

[Huawoi-acl-ady-3000]rule permit tcp source 192,168,1.3 0 destination 192,168.3,1 0 destination-port eq 80             destination代表目的地地址，destination-port代表目的端口号，80可用www代替[Huawei-acl-ady-3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[Huawei-ac-ady-3000] rule deny top source 192 168,100 0,0,0,255 destination 12.0.0.2 destination-port eg 21                   拒绝源地址192.168.10.0网段访问ETP服务器12.0.0.2###查看当前ACL配置是否配置成功

[Huawei-acl-ady-3000] dis this
[Huawei] interface a0/0/0

[Huawei-Gigabitetbernet0/0/1] ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/0] traffic-filter inbound acl 3000       在接口入方向应用acl
[Huawei-GigabitEthernet0/0/1]  undo traffic-filter inbound            在接口上取消acl的应用
[Huawei] display acl 3000        显示ac1配置

[Huawei] acl nmuber 3000

[Huawei-acl-adv-3000] dis this                查看规则序

[Huawei-acl-adw-3000] undo rule 5        删除一条acl语句
[Huawei] undo acl number 3000             删除整个ACL

二：实例说明

1.新建拓扑

 

2.配置路由器AR1的3个接口的IP地址

3.配置主机和Client

 

 

 

 

 

 

4.配置路由器仅允许PC1主机访问192.168.2.0网络，其他的都不允许访问，出口方向调用acl 2000

 5.测试配置。PC1可与PC3通信，未配置前PC2可以与PC3通信，配置后PC2与PC3通信不了 

 

结果：第一条要求：仅允许PC1访问192.168.2.0/24的网络。配置成功。

6.在路由器上配置acl 3000，设置 192.168.1.0网段的ping权限，出口方向配置acl 3000。

7.测试配置，PC1主机ping命令显示报错，说明ping命令被禁用了。

Client1测试数据，发5个包失败5个，说明数据已无法通信

 

向目的地址发送HTTP请求，HTTP请求仍可接收。

 

 结果：第二条要求：禁止192.168.1.0/24网络ping Web服务器已配置成功。

8.配置Client 2

9 .AR1配置http协议

10.测试数据通信，Client1数据通信成功，Client2进行http测试报错，不能与目的地址通信。

 

 结果：第三条要求:仅允许Client1访问服务器的WWW服务,配置成功。

总结：ACL的配置格式

#定义ACL

acl number

rule permit/deny [协议] [source/destination] <反掩码> ……

#在接口的指定方向调用ACL

int <接口>

traffic-filter inbound/outbound acl