[网络]ACL 访问控制列表

 一、ACL

1.1、ACL概述

        访问控制列表ACL(Access Control List)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

1.2、ACL在接口的应用方向

二、ACL的工作原理 

2.1工作原理

        当数据包进入端口时，路由器会检查数据包是否可路由。

        如果可路由，路由器会检查该端口上是否有控制传入数据包的 ACL。

        如果有，则根据 ACL 的条件命令检查数据包。

        如果允许数据包，则查询路由表以确定数据包的目标端口。 路由器会检查 ACL 是否控制目的端口上的出站数据包。

        如果不存在，数据包将直接发送到目的端口。

        如果存在 ACL，数据包将遵循 ACL。然后将其转发到目标端口。

2.2ACL的作用

用来对数据包做访问控制(丢弃或者放行)

结合其他协议，用来匹配范围

2.3ACL 应用

1. 应用在接口的ACL-----过滤数据包（原目ip地址，原目 mac， 端口 五元组）

2. 应用在路由协议-------匹配相应的路由条目（ ）

3. NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流（匹配上我设置的 数据流的）

2.4ACL种类

        基本ACL(2000-2999) :只能匹配源IP地址。

        高级ACL (3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议。

        二层ACL (4000-4999):根据数据包的源Mac地址、目的Mac地址、8O2.1Q优先级、二层协议类型等二层信息制定规则.

三、实验

实验要求：干掉1.1 不让他访问www

先配置基本信息

 设置R1

R1
u t m //取消提示
sys //进入管理员模式
int g0/0/0 //进接口
ip add 192.168.1.254 24 //设置ip地址
int g0/0/1 //进接口
ip add 192.168.2.254 24 //设置ip地址
int g0/0/2 //进接口
ip add 192.168.3.254 24 //设置ip地址
q //退出
acl  2001 //基本acl 列表
rule 5 deny source 192.168.1.1 0 //默认编号5拒绝来自192.168.1.1 的流量
int g0/0/1 //进接口
traffic-filter outbound acl 2001 //数据流向
int g0/0/1 //进接口
undo traffic-filter outbound //删除上个数据流向
q //退出
//高级  acl
acl number 3000 
rule 5 deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port  eq www（80） //拒绝来源于 192.168.1.1去访问 192.168.2.1的 tcp 的80 端口不让他打开网页
q //退出
int g0/0/0 //进接口
traffic-filter outbound acl 3000 //数据流向

 至此实验成功。

四、总结

        要弄清方向，在接口下调用acl 分为两个方向
        inbound方向--------当接口收到数据包时执行ACL
        outbound方向-------当设备从特定接口向外发送数据时执行ACL