ACL

在路由器的控制中

ACL访问控制列表的作用：

1.访问控制   

  ---- 在路由器流量流入或流出的接口上，匹配流量，然后执行设定好的动作 。

 permit（允许） deny（拒绝）

2.抓取感兴趣流      

 ---- ACL的另一个作用就是和其他服务结合使用。ACL只负责抓取流量，动作由其它服务来执行。

ACL列表的匹配规则 自上而下，逐一匹配，如果配到了，则执行对应的动作，则不再向下匹配。

 

思科----ACL列表末尾默认包含一条拒绝所有的规则。

华为----ACL列表末尾没有包含任何规则。

 

ACL列表的分类

基础ACL––仅关注数据包中的源IP地址（只关注你是谁）

高级ACL––不仅关注数据包中的源IP地址，还关注目标IP地址，以及协议和端口号。（不仅关注你是谁，还关注你去哪，干啥）

二层ACL––

用户自定义ACL列表

 

 需求一：要求PC1可以访问3.0网段，但是PC2不行。

基础ACL配置的位置原则：因为基础ACL只关注源IP地址，所以，可能会造成误伤，所以，建议基础ACL配置位置越靠近目标越好。

基础ACL配置：

1，创建ACL列表

[r2]acl ?

 INTEGER<2000-2999> Basic access-list(add to current using rules) --- 基础ACL

 INTEGER<3000-3999> Advanced access-list(add to current using rules) --- 高级ACL

 INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL

 2.在ACL列表中添规则

思路一：deny PC2    permit  所有

思路二：permit PC1    deny    所有

【在这个题中思路一适合华为（末尾默认允许所有），思路二适合思科】

 [r2-acl-basic-2000]rule deny source 192.168.1.3（PC2的IP地址） 0.0.0.0 --- 通配符 --- 0代表不可变，1代表可变 --- 通配符和反掩码（连续的0或1）不同，他可以0和1穿插着使用。

[r2-acl-basic-2000]rule permit source any --- 允许所有

[r2]display acl 2000 --- 查看ACL列表

 图中的5,10,15是一个排序，之所以是这几个数字，是因为华为的规则默认（可以手动更改）以5为步调自动添加序号，目的为了方便插入规则。

 如果还要添加规则

 [r2-acl-basic-2000]undo rule 7 --- 删除规则

3，在接口上调用ACL列表

inbound代表入借口

outbound代表出借口 

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

切记：一个接口的一个方向上只能调用一张ACL列表

需求二：要求PC1可以ping通PC3，但是不能ping通PC4。

高级ACL列表配置位置原则：

因为高级ACL列表可以进行精准的匹配，所以，位置应该放在尽可能靠近源的地方，可以 节约链路资源。

[r1]acl name xuqiuer 3000 --- 通过重命名的方法来创建高级ACL列表

[r1-acl-adv-xuqiuer]

[r1-acl-adv-xuqiuer]rule deny ip source 192.168.1.2（PC1的IP地址） 0.0.0.0 destination 192.168.3.3（PC4的IP） 0.0.0.0 --- 高级ACL列表规则

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiuer --- 通过调用名称来调用列表

需求三：要求AR3可以ping通AR2，但是不能telnetAR2（因为电脑模拟不出Telnet的公能所以换成路由器AR3）

 

先敲允许Telnet命令

[r1-acl-adv-xuqiuer]rule deny tcp source 192.168.1.10（AR3的IP） 0.0.0.0 destination 192.168.2.2（AR2 的IP）0.0.0.0 destination-port eq 23（tcp协议的23号端口）