1、ACL的定义:
它是路由器和交换机(三层)接口的指令列表(通过接口控制你的流量),用来控制端口进出的数据包。
2、ACL的分类和区别:
根据它使用的列表的列表号,按照表号的不同,将他分为两类:
-
第一类:编号范围:2000-2999,基本ACL(标准ACL)。
区别:它是基于源IP地址进行过滤。 -
第二类:编号范围:3000-3999,高级ACL(扩展ACL)
区别:它是基于源和目的IP地址、源和目的端口(TCP/UDP)、协议类型来进行过滤的。对应于层端口的控制方式,用得比较广泛。
3、ACL的工作原理:
- 1.入站配置ACL:
对来的数据分组,通过ACL分组进行处理,然后再放到路由器的出口。 - 2.出站配置ACL
通常情况下,我们会将ACL配置放置入站口去解决。
4、ACL的配置
-
基本ACL
-
建立基本ACL,表号是2000:
acl 2000
-
配置拒绝规则:
[Huawei-acl-basic-2000]rule deny source 192.168.1.2 0
-
rule 5:值越小越优先
-
在接口的入方向调用ACL:
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
-
高级ACL
-
建立基本ACL,表号是3000:
acl 3000
-
配置拒绝规则:
[Huawei-acl-basic-3000]rule deny icmp source 源IP 反码 destination 目标IP 0
-
在接口的入方向调用ACL:
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
-
注意点:
-
1.一个接口的同一个方向,只能调用一个ACL;每个端口、每个方向、每条协议只能对应一条访问列表。
-
2.一个ACL里面可以有多个RULE规则,从上往下依次执行;具有严格限制条件的语句应该放在访问列表所有语句的最方面。
-
3.数据包一旦被某个rule规则匹配,就不再继续往下匹配。
-
4.华为:默认隐含放过所有数据包,在ACL配置时。
-
5.访问列表不能过滤路由器自己产生的数据,(只能控制外面进来的数据,有一个入和出,自己的数据控制不了。)