目录
一、ACL概述
ACL——访问控制列表是由一条或多条规则组成的集合。每条规则描述报文匹配条件(报文的源地址、目的地址、端口号等)的判断语句,设备基于这些规则进行报文匹配,可以过滤出特定的报文。
1、ACL两大作用:
- 访问控制—— 配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执行,允许,拒绝。
- 抓取感兴趣流量——ACL的另一个作用就是和其他服务结合,ACL负责按照事先规定的规则抓取流量。而其他服务对匹配到流量执行相应的动作。
2、ACL分类 :
ACL分很多种,不同场合应用不同种类的ACL。
- 基础的ACL——只匹配源,表号范围2000-2999。由于基本ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他地址访问造成误伤。
- 高级的ACL——可以针对包括协议类型、源地址、目的地址、源端口、目的端口和TCP连接建立等进行过滤,表号范围3000-3999。高级ACL既关注源也关注目标,可以做到精准匹配,不会误伤其他访问地址,因此调用时应尽量靠近源。
- 用户自定义的ACL——可以用户自定义相应的功能。表号范围4000—4999。
二、ACL的匹配原则
- 自上而下逐一匹配,一旦匹配上,则不继续向下匹配。
- 华为体系的设备——ACL列表末尾隐含一条允许所有的指令(不做处理)。
- 思考体系的设备——ACL列表末尾隐含了一条拒绝所有的规则。
三、ACL基本配置
1、基础ACL配置
- 创建ACL列表,并在ACL列表中添加规则。
- 路由器的接口调用ACL列表,注意方向(一个接口的一个方向只能调用一张列表)。
例如:让PC1无法访问192.168.3.0/24网段。
[r2-acl-basic-2000]rule deny source 192.168.1.254 0.0.0.0 ——0.0.0.0为通配符,0代表不可变,1代表可变(若上述通配符为0.0.0.255相当于匹配192.168.1.X这样特征的流量)[r2-acl-basic-2000]display acl 2000——查看ACL列表配置Acl's step is 5——步长,一方面用来确定匹配顺序,另外也方便规则之间插入一些规则策略,步长越小匹配优先级越高。[r2-acl-basic-2000]undo rule 5—删除ACL规则
2、高级ACL配置:
例如:让PC1无法ping通PC3,但可以ping通PC4。
[r1]acl 3000——创建ACL 列表[r1-acl-adv-3000]rule deny icmp source 192.168.1.254 0 destination 192.168.3.254
0 ——配置规则,调用位置更靠近源[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000—注意调用的方向,此时是数据流入的方向
例如:让PC1 可以ping通R2,但不能telentR2
eq——等于 gt——大于 lt——小于