网络访问控制列表（ACL）和基础实验 _控制列表

春衣少年当酒歌，起舞四顾以笑和。这篇文章主要讲述网络访问控制列表（ACL）和基础实验相关的知识，希望能为你提供帮助。
@[TOC]
1.ACL的概念

ACL（Access Control Lists，缩写ACL），是存取控制列表。它读取第三层和第四层的包头信息（这里就引出了通信四元素：原地址，目标地址，源端口。目标端口），根据预先设置的规则对包进行过滤。 1.1 ACL在接口上的应用在入口上：数据包从入口进路由器，就会被路由器处理
在出口上：数据包在经过路由器处理后，才会让它从出口出去

文章图片

1.2 ACL工作原理当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理，其实就是从上往下一条一条的匹配，直到最后，丢弃或者发送出去。

文章图片

1.3 ACL的作用1）用来对数据包做访间控制(丢弃或者放行)
2）结合其他协议,用来匹配范围
1.4 ACL的应用原则和规则
基本ACL。尽量用在靠近目的点
高级ACL，尽量用在靠近源的地方（可以保护带宽和其他资源）
应用规则
1、一个接口的同一个方向，只能调用一个ACL
2、一个ACL里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行
3、数据包一旦被某rule匹配，就不再继续向下匹配
4、用来做数据包访问控制时，默认隐含放过所有(华为设备) 1.5 ACL的种类
基本ACL（2000-2999）:只能匹配源IP地址。
高级ACL（3000-3999）:可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段。
二层ACL（4000-4999）:根据数据包的源MAC地址、目的MAC地址、802.1Q优先级、二层协议类型等二层信息制定规解即可),但是因为二层ACL使用MAC地址匹配，但更换主机后，规则需要重新设置，对于经常更换主机的比较麻烦，所以很少使用。
常用的是基本ACL和高级ACL。 2.ACL的配置实验需求一：仅允许PC1访问192.168.2.0/24网络

文章图片

首先设置AR1路由器的三个接口ip地址和配置各个主机和服务器的信息：

文章图片

[ar1]acl 2000
创建acl列表2000
[ar1-acl-basic-2000]rule permit source 192.168.1.1 0
允许PC1的IP通过，这里最后的0是反掩码，原本是255.255.255.255 ，反掩码为0.0.0.0
[R1-acl-basic-2000]rule deny source any
拒绝其他所有的访问

文章图片

[R1]int g0/0/2
进入出接口
[R1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
调用出接口的acl列表，outbound出方向，inbound进入方向

文章图片

文章图片

需求二：禁止192.168.1.0/24网络ping Web服务器
[R1]acl number 3000
这里禁止ping和访问服务器，需要创建高级ACL
[ar1]acl 3000
[ar1-acl-adv-3000]ru
[ar1-acl-adv-3000]rule de
[ar1-acl-adv-3000]rule deny icm
[ar1-acl-adv-3000]rule deny icmp sour
[ar1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 de
[ar1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
禁止网段10.0 ping 30.1
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]tra
[ar1-GigabitEthernet0/0/0]tracert
[ar1-GigabitEthernet0/0/0]traffic-filter in
[ar1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
调用出接口的acl列表，outbound出方向，inbound进入方向

文章图片

文章图片

需求三：仅允许Client1访问Web服务器的WWW服务
仅同意Client1访问Web服务器:
[AR1]ACL 3001
创建3001数据池
[AR1-acl-adv-3001]rule permit TCP source 192.168.1.3 0 destination 192.168.3.1 0 destination-port EQ 80
permit TCP-同意TCP协议
source 192.168.1.3 0 destination 192.168.3.1 0-来源主机192.168.1.3 0 destination-代表目的地址
destination-port-代表目的端口号
eq-同样的
80-www

【网络访问控制列表（ACL）和基础实验】

文章图片

[AR1-acl-adv-3001]rule deny tcp source ANY destination 192.168.3.1 0 destination-port EQ 80
deny source any-代表拒绝所有访问

文章图片

[AR1]INT G0/0/1
设置出口端口在g/0/01
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3001

文章图片

文章图片

文章图片