网络|ACL（访问控制列表（Access Control List））网络|网络

目录
技术背景
概念
【网络|ACL（访问控制列表（Access Control List））】ACL实现方法
配置
1.数据的流量走向
2.ACL部署的具体位置
3.配置ACL
4.在接口上调用ACL，并声明方向
ACL通过定义一系列规则，设备根据这些规则对数据包进行分类并处理，从而达到控制网络访问行为，限制网络流量，提高网络性能，防止网络攻击等目的。
技术背景 ACL可以通过定义规则来允许或拒绝流量的通过。
文章图片

概念 ACL是管理者手动添加的，用于数据包访问控制的列表，路由器通过逐条读取列表中的条目来决定数据包放行或丢弃，是路由器处理数据包的行为规范手册。
文章图片

文章图片

ACL的两大用处：

控制数据的流量
匹配感兴趣的流量

每个ACL可以包含多个规则
permit:允许
deny:拒绝
rule 编号网段通配符
通配符：0匹配的不可变，1匹配的可变

文章图片

ACL实现方法

文章图片

确定部署位置，匹配对应流量，决定调用方向，查看以及测试。
就近原则：在配置ACL时，一定要选择最近的路由器或三层设备接口进行截取
按序匹配：只要匹配到了立即停止，命中即生效
黑白名单：黑名单，只有名单上的不能过，白名单，只有名单上的能过（隐式拒绝，一个ACL启用，不做任何配置，默认不允许任何数据通过）
在现网中配置ACL，一定记得加 permit any any
配置 1.数据的流量走向判断数据流量下接口的方向 inbound outbound
具体是in还是out没有固定的接口，都是以数据流向定的

文章图片

文章图片

2.ACL部署的具体位置按照就近原则部署
3.配置ACL 确定是基本的还是高级的
permit deny 一定记得加 permit any any
如果不具体声明rule编号，则按照默认步长进行顺序排序
设定步长为了后续更方便的进行添加，插入，默认步长5

文章图片

4.在接口上调用ACL，并声明方向

文章图片

文章图片

SW1:

vlan batch 10 20 int vlanif 10 ip add 192.168.1.254 24 int vlanif 20 ip add 192.168.2.254 24 int g0/0/1 port link-type access port de vlan 10 int g0/0/2 port link-type access port de vlan 20 vlan 11 int g0/0/3 po link-type access po de vlan 11A int vlanif 11 ip add 11.1.1.2 24 ip route-static 0.0.0.0 0.0.0.0 11.1.1.1

AR1:

int g0/0/0 ip add 11.1.1.1 24 int g0/0/1 ip add 12.1.1.1 24 ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 ip route-static 192.168.1.0 24 11.1.1.2 ip route-static 192.168.2.0 24 11.1.1.2acl 2000 rule deny source 192.168.1.0 0.0.0.255 int g0/0/1 traffic-filter outbound acl 2000

AR2: