ACL的原理与基本ACL的配置

ACL（Access Control List）----访问控制列表，在路由器接口上使用的规则列表。
规则：匹配数据包，实现数据包的控制(过滤或放行)–作用
动作：permit允许，deny拒绝。
ACL读取第三层(IP)和第四层（TCP/UDP）的头部信息——源ip，目标ip，源端口，目标端口，然后根据预先定义好的规则对报文进行过滤。
ACL原理：一个ACL可以有多个规则（rule），acl匹配时，按照rule的编号从小到大依次检查；只要匹配到，就不再继续向下匹配
在配置 ACL 的过程中，不同的规则条目之间的 rule 号码尽量隔开一个段空间，这样的话，便于后期 ACL 的管理，比如添加 或者 删除一个 rule ，非常方便。
ACL的特点：
1）ACL对设备本身发起的流量是不起作用的；
2）ACL 与 traffic-filter 结合使用时，最后有一个隐含的“允许所有”

注：华为ACL，最终默认允许。
华为基本ACL：acl编号：2000~2999，基于源IP地址做访问控制，仅仅能匹配数据包的源IP地址，匹配数据包不精确。建议：基本ACL调用尽量在距离目标设备近的接口上。
华为基本ACL配置：
1.实验要求：
禁止PC1网络访问服务器 Server1
允许其他所有访问流量
2.实验拓扑图：
3.实验配置思路 ：
1）.配置AR1实现全网互通；
2）.AR1配置基本ACL
3）.在0/0/0/接口上过滤流量
4.实验步骤及命令：
system-view ----进入用户视图
[Huawei]sysname R1 ----更改设备名称
[R1]interface GigabitEthernet 0/0/0 ----进入端口
[R1-GigabitEthernet0/0/0]ip address 192.168.100.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 ----进入端口
[R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2 ----进入端口
[R1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 ----配置IP和子网掩码
[R1-GigabitEthernet0/0/2]quit ----返回上一视图
[R1]acl 2000 ----创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.1 0.0.0.0（通配符） —规则拒绝源地址192.168.1.1
[R1-acl-basic-2000]rule 20 permit source any -----规则允许所有源地址通过
[R1-acl-basic-2000]quit ----返回上一视图
[R1]interface GigabitEthernet 0/0/0 ----进入端口
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 ----在出接口上调用ACL 2000
[R1-GigabitEthernet0/0/0]quit ----返回上一视图
[R1]display acl 2000 ----查看ACL
5.测试验证：