ACL访问控制列表

1、ALC作用

1、对数据包的访问进行控制

2、对协议控制（icmp tcp）

2、ALC使用方法

配置再路由器上，数据包从接口经过的时候，接口配置acl策略，路由器会根据策略检查数据包，根据策略做出相应的处理。

配置规则：permi允许或deny拒绝组成的有序的语句，组成一个规则

ALC在接口上如何应用：

在入口：数据包从入口进入路由器，能不能进入路由器（inbound）

在出口：数据包经过路由器处理之后，数据包能不能出去（outbound）

3、ALC种类

种类有3类，一般使用2类

基本acl：2000-2009 只能匹配源ip地址。

高级 acl：3000-3999 源ip 目的ip 源端口，目的端口，三层和四层的协议都可以支持 icmp tcp

udp http https。

二层acl：基本不用。

4、ALC使用规则及语句

基本acl 尽量用在靠近目的地

高级acl 尽量使用在靠近源的地方 

基本acl语句

rule 5（默认） permit source 1.1.1.0 0.0.0.255（反掩码）#数字可以自定义，可以不加默认 允许放行

rule 5（默认）deny source 1.1.1.0 0.0.0.255（反掩码）     #禁止放行

acl应用规则和匹配数据：

1、一个接口同一方向只能调用一个acl。

2、一个acl当中可以有多个规则，根据规则的id从上到下依次执行。

3、数据包一旦被某个策略匹配，那么不再继续向下匹配。

4、默认是放行所有（华为设备）。

5、实验

需求：实验1、实现仅允许pc1访问192.168.2.0/24网络，即pc1访问pc3
           实验2、禁止192.168.1.0/24网络ping web服务器
           实验3、仅允许client1访问web服务的服务器

组图

5.1实验1

实现仅允许pc1访问192.168.2.0/24网络，即pc1访问pc3

AR1命令行

<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#进入端口配置ip
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add    
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.3.254 24
[Huawei-GigabitEthernet0/0/2]q
[Huawei]acl 2000 #创建ALC策略 普通acl
[Huawei-acl-basic-2000]rule permit source 192.168.1.10 0 #设置规则 允许ip地址通行
[Huawei-acl-basic-2000]rule deny source any  #设置规则 禁止其他源地址通行
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 #在出口调用acl 2000规则
[Huawei-GigabitEthernet0/0/1]q

实验结果ping图

pc1 可ping通

pc2 不可ping通

5.2实验2

禁止192.168.1.0/24网络ping web服务器

AR1命令行

[Huawei]acl 3000    #创建ACL策略 高级ACl
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192
.168.3.30 0 #创建规则 禁止icmp协议 源IP网段 通配符 目的IP地址 通配符0 禁止192.168.1.0/24网络ping web服务器
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #在入口调用acl 3000规则

实验结果ping图

pc1 ping不通

pc2ping不通 

 Client1 ping不通

5.3实验3

仅允许client1访问web服务的服务器

AR1命令行

[Huawei]acl 3001 #创建ACL策略 高级ACl
[Huawei-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3
.30 0 destination-port eq 80 #设置规则 仅允许client1访问web服务的服务器 TCP协议 源IP 目的IP 目的端口
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3001 #调用规则

 server服务器设置

点击HttpServer------->文件根目录选择本地任意文件夹----------->启动

client1客户端设置

AR1命令行与server服务器设置完成后，进入client1客户端设置

点击客户端信息------->点击HttpClient--------->地址输入要访问的地址ip--------->获取

出现File download弹框即可