ACL访问控制列表

一箫一剑平生意，负尽狂名十五年。这篇文章主要讲述ACL访问控制列表相关的知识，希望能为你提供帮助。
定义：
1、读取第三层、第四层的包头信息（网络层与传输层）——读取源ip与目的ip；源端口与目的端口
2、根据预先定义好的规格对包进行过滤
作用：
1、对数据包做访问控制
2、结合其他协议，用来匹配范围
工作原理：当数据包从端口经过时，接口启用了acl，此时路由器对报文进行检查，然后做出相应的处理。
访问控制列表接口应用方向出：已经经过路由器的处理，正在离开路由器接口的包
入：已经到达路由器接口的包，将被路由器处理

文章图片

！基本acl：只能匹配源IP地址（序列号2000-2999）
！高级acl：可以匹配源ip、目标ip、源端口、目标端口与相关字段和协议等）（序列号3000-3999）
二层acl“范围4000-4999”：对目标mac、源mac802.1q等二层协议进行规则制定（了解）
ps:本章主要讲述基础acl+高级acl
ACL的应用原则：
基本acl：用在靠近目的地的点
【ACL访问控制列表】高级acl：尽量用在靠近源的地方（保护带宽与其他资源）
应用规则：
1、一个接口的同一方向，只能调用一个acl
2、一个acl包含多个rule规则，按照rule id从小到大排序，从上往下依次匹配
3、数据包一旦被某一条rule匹配到，不再往下匹配
4、用来做数据包访问控制时，默认隐含放过所有(华为环境)
反掩码：
1、如果只是表示一台设备的时候就是 0
2、默认24掩码下。c类网段的反掩码就是0.0.0.255（既c类网段的可用ip数）
2、用该掩码点分十进制表示，255减去每个字段的值就是反掩码

文章图片

指令：（华为）备注：在你面对要求时，想好自己的规则建立规划，哪个端口，进还是出，怎么设立规则。再动手
基础acl(2000-2999) 简单设置某个源ip禁止访问
acl 2000；设置ACL编号
rule 5 deny soure 192.168.1.1 0（0为反掩码，表示仅此一台）；设置5号规则，拒绝源地址192.168.1.1的流量
int g0/0/1
traffice-filter outbound acl 2000；进入1号端口并在出口端采用acl规则2000
undo shutdown；端口不关闭
简单设置某个源ip允许访问
acl 2001；设置ACL编号
rule permit source 192.168.1.0 0.0.0.255(0.0.0.255为反掩码）；设置规则，允许来自源地址192.168.1.1的流量｛未设置rule X时，默认从5开始｝
rule deny source any 或者 rule deny；拒绝所有流量访问
int g0/0/1
traffic-filter outbound acl 2001；进入1号端口并在出口端采用acl规则2001
高级acl(3000-3999) 拒绝某个协议
acl 3000；设置ACL编号
int g0/0/1
rule deny icmp sourcr 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ; 禁止来自192.168.1.0网段的流量对192.168.3.1主机的使用ICMP协议（ping）
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80；允许源ip地址位192.168.1.3的流量使用TCP协议通过80端口访问192.168.3.1的主机
rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80：禁止任何流量通过tcp的80端口访问192.168.3.1主机
rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21；禁止192.168.10.0的网段流量通过TCP协议的21号端口访问12.0.0.2的主机
int g0/0/1
traffic-filter inbound acl 3000; 该1号端口的进口端采用acl 3000
undo traffic-filter inbound；该端口取消acl x号规则
undo rule X；取消规则第几号
undo acl 2000；取消acl 2000