ACL访问控制列表

Posted 2021-10-22 kiroct

定义：

1、读取第三层、第四层的包头信息（网络层与传输层）——读取源ip与目的ip；源端口与目的端口

2、根据预先定义好的规格对包进行过滤

作用：

1、对数据包做访问控制

2、结合其他协议，用来匹配范围

工作原理：当数据包从端口经过时，接口启用了acl，此时路由器对报文进行检查，然后做出相应的处理。

访问控制列表接口应用方向

出：已经经过路由器的处理，正在离开路由器接口的包

入：已经到达路由器接口的包，将被路由器处理

！基本acl：只能匹配源IP地址（序列号2000-2999）

！高级acl：可以匹配源ip、目标ip、源端口、目标端口与相关字段和协议等）（序列号3000-3999）

二层acl“范围4000-4999”：对目标mac、源mac802.1q等二层协议进行规则制定（了解）

ps:本章主要讲述基础acl+高级acl

ACL的应用原则：

基本acl：用在靠近目的地的点

高级acl：尽量用在靠近源的地方（保护带宽与其他资源）

应用规则：

1、一个接口的同一方向，只能调用一个acl

2、一个acl包含多个rule规则，按照rule id从小到大排序，从上往下依次匹配

3、数据包一旦被某一条rule匹配到，不再往下匹配

4、用来做数据包访问控制时，默认隐含放过所有(华为环境)

反掩码：

1、如果只是表示一台设备的时候就是 0

2、默认24掩码下。c类网段的反掩码就是0.0.0.255（既c类网段的可用ip数）

2、用该掩码点分十进制表示，255减去每个字段的值就是反掩码

---

指令：（华为）

备注：在你面对要求时，想好自己的规则建立规划，哪个端口，进还是出，怎么设立规则。再动手

基础acl(2000-2999)

简单设置某个源ip禁止访问

acl 2000；设置ACL编号
rule 5 deny soure 192.168.1.1 0（0为反掩码，表示仅此一台）；设置5号规则，拒绝源地址192.168.1.1的流量
int g0/0/1
traffice-filter outbound acl 2000；进入1号端口并在出口端采用acl规则2000
undo shutdown；端口不关闭

简单设置某个源ip允许访问

acl 2001；设置ACL编号
rule permit source 192.168.1.0 0.0.0.255(0.0.0.255为反掩码）；设置规则，允许来自源地址192.168.1.1的流量｛未设置rule X时，默认从5开始｝
rule deny source any 或者 rule deny；拒绝所有流量访问
int g0/0/1
traffic-filter outbound acl 2001；进入1号端口并在出口端采用acl规则2001

高级acl(3000-3999)

拒绝某个协议

acl 3000；设置ACL编号
int g0/0/1
rule deny icmp sourcr 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ;禁止来自192.168.1.0网段的流量对192.168.3.1主机的使用ICMP协议（ping）
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80；允许源ip地址位192.168.1.3的流量使用TCP协议通过80端口访问192.168.3.1的主机
rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80：禁止任何流量通过tcp的80端口访问192.168.3.1主机
rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21；禁止192.168.10.0的网段流量通过TCP协议的21号端口访问12.0.0.2的主机

int g0/0/1
traffic-filter inbound acl 3000;该1号端口的进口端采用acl 3000
undo traffic-filter inbound； 该端口取消acl x号规则
undo rule X；取消规则第几号
undo acl 2000；取消acl 2000