ACL的基本原理与配置
目录
- 一、ACL概述
- 1.ACL的工作原理
- 二、ACL的组成
- 1.规则编号
- 2.通配符
- 二、ACL的分类与标签
- 三、基本ACL与高级ACL
- 四、ACL的匹配机制
- 五、ACL的匹配顺序及匹配结果
- 1.ACL的匹配位置
- 2.入站(Inbound)及出站(Outbound)方向
- 六、ACL的实验配置
一、ACL概述
ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。
- ACL是由一系列permit或deny语句组成的、有序规则的列表。
- ACL是一个匹配工具,能够对报文进行匹配和区分。
1.ACL的工作原理
ACL的工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,然后做出相应的处理。
二、ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。
1.规则编号
2.通配符
- 子网掩码:1的含义是精确匹配,0的含义是忽略匹配
- 通配符掩码:1的含义是忽略匹配,0的含义是精确匹配
二、ACL的分类与标签
三、基本ACL与高级ACL
四、ACL的匹配机制
五、ACL的匹配顺序及匹配结果
- 配置顺序(config模式)
1.ACL的匹配位置
ACL在接口上的应用:
在入口上:数据包从入口进路由器,就会被路由器处理。
在出口上:数据包在经过路由器处理后,才会让它从出口出去。
ACL的应用原则:
基本ACL,尽量用在靠近目的点。
高级ACL,尽量用在靠近源的地方。
应用规则
1、一个接口的同一个方向,只能调用一个ACL
2、一个ACI里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
2.入站(Inbound)及出站(Outbound)方向
- 有测匹配,无则放行
- 接口响应配置,要被调用
六、ACL的实验配置
一、实现第一个目标:仅允许PC1访问192.168.2.0/24网络(即仅允许PC1访问PC3)
sys [Huawei]sysname AR1 [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 [AR1-GigabitEthernet0/0/0]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24 [AR1-GigabitEthernet0/0/1]int g0/0/2 [AR1-GigabitEthernet0/0/2]ip address 192.168.2.254 24 [AR1-GigabitEthernet0/0/2]q [AR1]acl 2000 [AR1-acl-basic-2000]rule permit source 192.168.1.10 0 [AR1-acl-basic-2000]rule deny [AR1-acl-basic-2000]q [AR1]int g0/0/2 [AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000 [AR1-GigabitEthernet0/0/2]q 
1、配置路由器R1
2、配置PC机
3、分别在PC1和PC2上ping PC3
4、发现只有PC1可以Ping同PC3,PC2不能ping同PC3,实验目的实现
二、禁止192.168.1.0/24网络ping Web服务器
[AR1]acl 3000 [AR1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.16 8.3.30 0 [AR1-acl-adv-3000]q [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 [AR1-GigabitEthernet0/0/1]q 
1、配置路由器R1上的acl功能
2、配置服务器
3、用PC1和PC2 ping 服务器,发现不能接通,实验目的达到
4、为什么PC3也不能连通客户端,因为一开始完成目的一时,创建的acl2000是配置在G0/0/2端口上的,所以客户端 的请求不能达到PC3,所以不能接通。
三、仅允许Client1访问WEB服务器的www服务
sys [AR1]acl 3001 [AR1-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3.30 0 destination-port eq 80 [AR1-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination 192.168.3.30 0 [AR1-acl-adv-3001]rule deny icmp source 192.168.1.20 0 destination 192.168.3.30 0 [AR1-acl-adv-3001]q [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 [AR1-GigabitEthernet0/0/0]q 1、配置路由器R1,此时注意配置acl时有端口号配置,所以需要用高级acl功能
2、配置服务器和客户端,获取文件