@[TOC]

ACL

1、ACL概念

访问控制列表(Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。


2、ACL在接口应用的方向

image.png

  • [ ] 出:已经过路由器的处理,正离开路由器接口的数据包
  • [ ] 入:已到达路由器接口的数据包,将被路由器处理
    列表应用到接口的方向与数据方向有关

    3、ACL处理过程图

    image.png


    4、ACL的作用

    1. 用来对数据包做访问控制(丢弃或者放行)
    2. 结合其他协议,用来匹配范围

      5、ACL的工作原理

      当数据包从接口经过时,由于接口开启了acl,此时路由器会对报文进行检查,然后做出相应的处理


      6、ACL的种类

    3. 基本ACL(2000~2999):只能匹配源IP地址
    4. 高级ACL(3000~3999):可匹配源IP、目标IP、源端口、目标端口等三层和四层的字段
    5. 二层ACL(4000~4999):根据源MAC、目的MAC、802.1q优先级、二层协议等二层信息制订规则

      7、ACL的应用原则

  • [ ] 尽量用在靠近目的点
  • [ ] 尽量用在靠近源的地方(可保护带宽和其他资源)

    8、ACL的应用规则

    1. 一个接口的同一个方向,只能有一个ACL
    2. 一个ACL里可以有多个rule规则,按照规则ID从小到大的顺序,从上往下依次执行
    3. 数据包一旦被某个rule匹配,就不会再继续向下匹配
    4. 用来做数据包访问控制时,默认隐含放过所有(华为设备)

      ACL基础命令

      基本ACL示例(黑名单)

      
      [Huawei]acl 2000      #进入acl 2000 列表 
      [Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0 #拒绝源地址为192.168.1.1的流量,0代表仅此一台
      [Huawei-acl-basic-2000]q
      [Huawei]int g0/0/1
      [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
      [Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000  ##接口出方向调用ACL2000 outbound为出方向,inbound为入方向
      [Huawei-GigabitEthernet0/0/1]un sh
基本ACL示例(白名单)

[Huawei]acl 2001 ##进入acl 2001 列表
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 ##permit代表允许,source代表来源,之后跟上反掩码
[Huawei-acl-basic-2001]rule deny source any ##拒绝所有访问,any代表所有
[Huawei-acl-basic-2001]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2001 ##接口出方向调用ACL2001
[Huawei-GigabitEthernet0/0/1]q

高级ACL示例

[Huawei]acl number 3000 #进入ACL3000列表(3000是高级ACL范围)
[Huawei-acl-basic-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
#拒绝192.168.1.0 网ping 192.168.3.1
[Huawei-acl-basic-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.10 destination-port eq 80 #destination代表目的地址,destination-port 代表目的端口号
[Huawei-acl-basic-3000]rule deny tcp source any destination 192.168.3.10 destination-port eq 80
[Huawei-acl-basic-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 0 destination-port eq 21
#拒绝源地址192.168.10.0 网段访问FTP服务器12.0.0.2
[Huawei-acl-basic-3000]int g0/0/0 #进入g0/0/0接口
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24 #接口配置IP地址
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #接口出方向调用ACL300


## 总结
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用