ACL访问控制列表（访问控制、抓取感兴趣流）详解及基本ACL和高级ACL的配置。

ACL --- 访问控制列表

1. 访问控制：在路由器流量流入或流出的接口上，匹配流量，然后执行设定好的动作。（pemit 允许，deny 拒绝）

2. 抓取感兴趣流：ACL的另一个作用就是和其他服务结合，ACL负责按照事先规定的规则抓取流量。而其他服务对匹配到流量执行相应的动作。

ACL的匹配规则：自上而下，逐一匹配。匹配上就按照对应的动作来执行，而不向下匹配。

思科体系的设备，ACL列表末尾隐含了一条拒绝所有的规则；

华为体系的设备，对ACL列表中匹配不到的流量不做任何处理。

3. ACL的分类：

       ① 基本ACL：仅关注数据包中的源IP

       ② 高级ACL：关注数据包中源IP以及目标IP，及协议类型和目标端口号。

       ③ 二层ACL；④ 用户自定义ACL；

4. ACL的配置：

需求一：PC1可以访问3.0网段，PC2不行

       基本ACL的位置原则：由于基本ACL仅关注数据包中的源IP地址，故调用时应尽量靠近目标，避免对其他地址访问造成误伤。

1. 创建ACL列表

[r1]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules) ---- 基本ACL
  INTEGER<3000-3999>  Advanced access-list(add to current using rules) ---- 高级ACL
  INTEGER<4000-4999>  Specify a L2 acl group ---- 二层ACL
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL

[r1]acl 2000
[r1-acl-basic-2000]

2. 在ACL列表中添加规则

[r1-acl-basic-2000]rule deny source 20.1.1.254 0.0.0.0 --- 通配符：0对应位不可变，1对应位可变，通配符和反掩码的区别是0和1可以穿插使用，例如：0.255.0.0。

[r1-acl-basic-2000]rule permit source any --- 允许所有

ACL的规则序号默认以5为步调自动添加 --- 方便添加和删除规则

[r1-acl-basic-2000]rule 6 deny source 10.1.1.254 0.0.0.0 --- 添加规则

[r1-acl-basic-2000]undo rule 6 --- 删除规则

3. 在接口上调用ACL列表

[r2-GigabitEthernet0/0/0]traffic-filter outbound 2000

切记：在一个接口的一个方向只能调用一张ACL列表

---

需求二：要求PC1可以ping通PC3，但是不能ping通PC4

高级ACL的位置原则：由于高级ACL对流量进行精确的匹配，可以避免误伤。在调用时，应尽量靠近源，节省链路资源

1. 通过重命名的方法创建ACL列表

[r1]acl name xuqiu2 3000

[r1-acl-adv-xuqiu2]

2. 添加规则

[r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0

华为默认是对ACL列表中匹配不到的流量不做任何处理。所以可以不写允许所有。

3. 通过重命名的方式调用ACL列表

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2

需求三：要求PC1可以ping通R2，但不能telnet R2

[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

参数：eq---等于；gt---大于；lt---小于；range----范围

[r1-GigabitEthernet0/0/0]undo traffic-filter inbound --- 删除ACL列表