目录

ACL——访问控制列表

ACL访问控制列表的匹配原则——自上而下，逐一匹配，一旦匹配上则不再向下匹配

ACL的分类

ACL的调用

---

ACL——访问控制列表

配置了ACL的网络设备根据事先制定好的规则，然后对经过该设备的流量按照对应的规则进行匹配，对匹配上的流量执行相应的动作

ACL的功能：

1.访问控制：允许（Permit），拒绝（deny）

2.抓取流量：ACL只匹配流量，至于具体的动作将和其他协议或者一些服务联合起来使用

ACL访问控制列表的匹配原则——自上而下，逐一匹配，一旦匹配上则不再向下匹配

华为默认ACL列表末尾隐含一条允许所有的指令（不做处理）

思科默认ALC列表末尾隐含拒绝所有的指令

ACL的分类

基础的ACL：仅关注数据包中的源IP地址

        编号范围：2000-2999

高级ACL：除了关注数据包中的源IP地址之外，还会关注数据包中的目标IP，端口号等等。

        编号范围：3000-3999

用户自定义的ACL

ACL的调用

ACL的调用：在路由器的接口，并且ACL的配置需要区分流量的流向（流入或者流出）

[R1]acl 2000——创建一个ACL列表

[R1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0——给ACL列表写规则，相当于拒绝192.168.1.3这个IP

0.0.0.0——通配符（32位二进制构成）——0代表不可变，1代表可变

                192.168.1.3 0.255.0.255 ——192.X.0.X

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000——接口调用ACL列表，需要注意流量的流向，in流入，out流出

inbound——流入

outbound——流出

[R1]display acl 2000——查看acl列表的规则

注意：基础ACL的配置尽量靠近目标，尽量避免误伤

（1）创建acl2000

[R2]acl 2000

（2）给acl写规则

[R2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

（3）接口调用——注意调用位置

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

一步长值（ACL列表默认步长为5）

另一方面，为了方便acl之间插入一些规则

[r2-acl-basic-2000]undo rule 10 -----删除规则

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---删除接口的调用

[R2-acl-basic-2000]rule 7 permit source 192.168.1.3 0.0.0.0——设定步长

高级ACL配置：

高级acl的调用位置尽量靠近源，避免资源的浪费（同时因为高级ACL，即关注源也关注目标所以不会误伤）

[R1]acl 3000——创建一个ACL列表

[R1-acl-adv-3000]rule deny icmp source 192.168.1.3 0.0.0.0 destination 192.168.3

.2 0.0.0.0——创建规则，拒绝源192.168.1.3ping目标192.168.3.2的流量

[R1-GigabitEthernet0/0/1]traffic-filter inbound  acl 3000——接口调用

注意：一个接口的一个方向只能调用一张列表

[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0.0.0.0 destination 192.168.3

.2 0.0.0.0——拒绝192.168.1.3访问3.2所有的TCP相关服务

[R2-acl-adv-3001]rule deny tcp source 192.168.2.1 0.0.0.0 destination 192.168.2.

2 0.0.0.0 destination-port eq 23 ——拒绝源为192.168.2.1目标为192.168.2.2并且访问服务为Telent服务的流量

destination-port eq 23 ——拒绝端口号为27的流量（代表的服务是Telent）

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001——接口调用