通信五元组
源IP地址 目标IP地址 源端口 目标端口 协议
ACL作用
过滤经过接口的数据包,根据规则放通或者丢弃
ACL工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL类型
基本ACL(2000-2999) 只匹配源IP
高级ACL(3000-3999) 根据 协议 源IP 目的IP 源端口 目的端口 匹配
二层ACL(4000-4999) 根据 源MAC 目的MAC (二层协议)【了解即可】
ACL匹配原则
一个接口一个方向只能调用一个ACL,一个ACL可以配置多条规则,匹配时从上往下依次匹配,匹配到就停止。若匹配完成未匹配到 华为设备默认放行所有
ACL应用原则
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
ACL配置命令
定义ACL
acl number <ID>
rule permit/deny [协议] [source/destination] <ip> <反掩码>
注意 <反掩码>
在接口的指定方向调用ACL
traffic-filter inbound/outbound acl <ID>
ACL配置实验
仅允许PC1访问192.168.2.0/24网络
仅允许PC1访问192.168.2.0/24网络
acl 2000
rule 5 permit source 192.168.1.1 0
#允许源地址为192.168.1.1的流量,0代表仅此一台,5是这条规则的序号(可不加)
rule 10 deny source 192.168.1.0 0.0.0.255
#也可以是rule deny source any/rule deny
#拒绝所有访问,any代表所有 0.0.0.0 255.255.255.255
int g0/0/0
traffic-filter inbound acl 2000
#接口出方向调用acl 2000,outbound代表出方向,inbound代表进入方向
#这条不能设置在002 会导致pc3pingserver1回不来
除pc1外其他电脑无法访问192.168.2.0/24
禁止192.168.1.0/24网络ping Web服务器
1 禁止192.168.1.0/24网络ping Web服务器
acl 3000 #拒绝tcp为高级控制,所以3000起
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 #拒绝Ping
int g0/0/1
traffic-filter outbound acl 3000
不能ping通服务器
但是可以使用服务器www服务
此时继续禁止80端口
2 此时再禁止www服务
acl 3000
rule deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 destination-port eq 80
#destination代表目的地地址,destination-port代表目的端口号,80可用www代,拒绝web服务
无法使用www服务
仅允许Client1访问Web服务器的WWW服务
仅允许Client1访问Web服务器的WWW服务
acl 3001
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
int g0/0/0
traffic-filter inbound acl 3001
client1可使用服务器web服务 client2不行
删除、取消 代码
undo traffic-filter inbound
在接口上取消acl的应用
display acl 3000
显示acl配置
acl nmuber 3000
dis this #查看规则序号
undo rule 5 #删除一条acl语句
undo acl number 3000
删除整个ACL