基本acl和高级acl的简介及其配置

#基本acl和高级acl的简介及其配置
一、ACL的简介
ACL（access control list 访问控制列表），是一组报文过滤的规则集合，以允许或阻止符合特定条件的报文通过。用于数据包的访问控制。
Acl常用两种：
基本acl（2000-2999）:只能匹配IP源地址。
高级acl（3000-3999）:可以匹配源IP地址、目标IP、源端口、目标端口等三层和四层字段。
注意:acl不能识别应用层，并对其进行控制和管理。
ACL的两种作用：（1）用来对数据包做访问控制
（2） 结合其他协议用来匹配范围
ACL的规则编号：
1、 自动分配规则编号：在自动分配规则编号时，为了方便后续在已有有规则之前插入新的规则(用以控制规则的匹配顺序，这点对于想要修改ACL的规则匹配结果时很重要)，系统通常会在相邻编号之间留下一定的空间，这个空间的大小(即相邻编号之间的差值)就称为 ACL的步长。在定义一条ACL规则的时候，如果用户不指定规则编号，系统就会从现有规则中最大的 ACL规则号(最小的规则号为0)开始，按照照步长设置自动为当前添加的规则分配一个大于现有规则最大编号的最小编号。假设现有规则中的最大规则号是25,步长是5，那么系统分配给新定义的规则的编号将是30.
2. 插入新规则时的规则编号
如果想要在原来的两规则之间插入一条新的规则，则插入的这条规则的编号必须手工指定，且其编号必须位于原来两条规则编号之间间。假设已配置好了4个规则，规则编号为5、10、15、20，此时如果用户希望在第一条规则之后插入一条规则，则可以使用命令在5和 10之间插入一条编号为7的规则。
二、基本acl
特点：应用在ipv4的网络中，且只能匹配IP源地址，这是它的一个显著的特点。
我做个拓扑来说明一下它的配置

实验需求：在R2配置基本acl拒绝pc1访问172.16.10.0 网络
R2：
Acl 2000 创建acl2000
Rule 5 deny source 192.168.10.1 0

Int gi 0/0/1 在接口的出方向调用acl
Traffic-filter outbound acl 2000
Outbound：出方向 从路由器的“肚子里”出来，从接口向外发出，站在路由器的角度考虑
Inbound：入方向 和outbound相反

Dis acl 2000 * 查看acl配置*
Dis traffic-filter applied-record * 查看acl应用到了哪个接口*
配置在ACL 2001中删除一条规则，删除规则5
acl 2001
undo rule 5
三、高级acl
我们还是用上面基本acl搭建的拓扑，来说明一下高级acl的配置方法。

实验需求：在R2上配置高级acl拒绝pc1和pc2 ping server。
具体配置如下：
R2
Acl number 3000
Rule 5 deny icmp source 192.168.10.0 0.0.0.255 Destination 172.16.10.2 0
注意：只有报文是 icmp、且源地址是 192.168.10.x、且 目标地址是 172.16.10.2才会被拒绝。需要同时满足这三个条件才会被匹配。
Int gi 0/0/1 在R2的出接口
Traffic-filter outbound acl 3000 调用我们配置好的acl3000

ACL用于控制telnet
例如：只允许12.1.1.5 远程telnet R2
R2开启telnet （略）
R2:
acl number 2008
rule 5 permit source 12.1.1.5 0
rule 10 deny
user-interface vty 0 4 到vty接口调用
acl 2008 inbound

ACL 用于多层交换机
方式1：acl 写法和路由器保持一致。华为设备需要在物理接口下调用acl.
Int gi 0/0/2
Traffic-filter outbound acl 3006

方式2：友商思科需在vlanif 三层接口下调用。
多层交换机调用acl：
全局：
Traffic-filter vlan10 inbound acl 2000
Acl 2000 只对vlan 10 生效，类似将acl 2000调用到了vlanif 10 口

注意事项：
1、 一个接口的同一个方向，只能调用一个acl
2、 一个acl里面可以有多个rule 规则，从上往下以次执行
3、 数据包一旦被某rule匹配，就不再继续向下匹配。
4、 用来做数据包访问控制时，默认隐含放过所有（华为设备）。

好啦！acl就先介绍到这里了，有看不懂或者不足的地方，欢迎大家评论区留言，我们下期再见！