ACL..

策略
ACL——访问控制列表
配置ACL的网络设备，根据事先制定好的规则，然后对经过该设备的流量按照对于的规则进行匹配，对匹配到的流量执行相应的动作
ACL的功能
访问控制：
允许Permit
拒绝deny

抓取流量：
ACL只匹配流量，至于具体动作将和其他协议或者一些服务联合起来使用
ACL访问控制列表的匹配原则——
自上而下，逐一匹配，一旦匹配上则不再向下匹配
华为默认ACL列表末尾隐含一条允许所有指令（不做处理）
思科默尔ACL列表末尾隐含一条拒绝所有指令

ACL的分类
基础acl：仅关注数据包中的源IP地址
2000—2999
高级acl:除了关注数据包中的源IP地址外，还会关注数据包中的目标IP，端口号等等
3000-3999
用户自定义的ACL：
ACL的调用：路由器的接口，并且ACL的调用需要区分流量的流向（流入或
者流出）

配置：
1.创建ACL
[r1]acl 2000
2.给ACL列表写规则
[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相当于拒绝
192.168.1.3这一个IP
0.0.0.0—通配符（32位二进制构成）：0代表不可变，1代表可变
192.168.1.3 0.255.0.255
3.接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)——需要注意流量的流向，IN—
流入 OUT——流出
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000—接口调用ACL列表
[r1]display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 192.168.1.3 0 (5 matches)—查看ACL列表的规则

注意：基础ACL的配置位置，尽量靠近目标 尽量避免误伤

1.创建ACL [r2]acl 2000

2.给ACL列表写规则 acl number 2000 rule 5 deny source 192.168.1.3 0

3.接口调用—注意调用位置 traffic-filter outbound acl 2000 5—步长值（ACL列表默认步长为5）

另一方面，为了便于规则之间插入一些规则 [r2-acl-basic-2000]undo rule 10 -----删除规则

高级ACL的调用位置尽量靠近源，避免资源的浪费（同时因为高级ACL，即关注源也关注目标，所以 不会造成误伤）

[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0.0. 0.0 —拒绝源1.3 访问3.2所有的TCP相关的服务

配置：

1.创建 [R1]acl 3000

2.写规则 rule 10 deny icmp source 192.168.1.3 0 destination 192.168.3.2 0 —拒绝源192.168.1.3ping目标 192.168.3.2的流量

3.接口调用规则 interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 traffic-filter inbound acl 3000—注意一个接口的一个方向实际只能调用一张列表

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用

 

 配置

acl number 3001

rule 5 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23 （代表服务为Telent）

—拒绝源为192.168.2.1 目标为192.168.2.2 并且访问服务为Telent服务的流量（访问目标端口 号为23的流量