访问控制列表ACL

一、访问控制列表(ACL)

1.ACL是什么

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

ACL的作用

用来对数据包的访问、控制或丢弃，结合其他协议来匹配范围。

ACL的分类

基本acl (2000-2999) :只能匹配源ip地址。
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
二层ACL ( 4000-4999) :根据数据包的源MAC地址、 目的MAC地址、802.1q优先级、二:层协议类型等二层信息制定规则。

应用规则

1、一个接口的同一个方向，只能调用一个acl。
2、一个acl里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行。
3、数据包一旦被某rule匹配，就不再继续向下匹配。
4、用来做数据包访问控制时，默认隐含放过所有(华为设备)。

命令

[Huawei]acl number 2000 #创建acl 2000
[ Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 #拒绝源地址为192.168.1. 1的流量，0代表仅此-一台，5是这条规则的序号。
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-Gigabi tEthernet0/0/ 1]traffic- filter outbound acl 2000 #接口出方向调用acl
2000， outbound代表出方向，inbound代表进入方向。
[Huawe i-GigabitEthernet0/0/1]undo sh
[Huawei] acl number 2001 进入acl 2001列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 #permit代表允许，source代表 来源，掩码部分为反掩码
[Huawei-acl-basic-2001] rule deny source any #拒绝所有访问，any代表所有0.0.0.0 255.255.255.255 或者 rule deny
[Huawei] interface GigabitEthernet 0/0/1 #进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic- filter outbound acl 2001
[Huawei]acl nmuber 3000#拒绝tcp为高级控制,所以3000起
[Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0#拒绝Ping
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80#destination代表目的地地址，destination- port代表目的端口号，80可用www代替