ACL访问控制列表（ACL访问控制列表中允许访问的命令规则）

ACL访问控制列表（ACL访问控制列表中允许访问的命令规则）

定义：

1、读取第三层、第四层的包头信息（网络层与传输层）——读取源ip与目的ip；源端口与目的端口

2、根据预先定义好的规格对包进行过滤

作用：

1、对数据包做访问控制

2、结合其他协议，用来匹配范围

工作原理：当数据包从端口经过时，接口启用了acl，此时路由器对报文进行检查，然后做出相应的处理。

访问控制列表接口应用方向

出：已经经过路由器的处理，正在离开路由器接口的包

！基本acl：只能匹配源IP地址（序列号2000-2999）

！高级acl：可以匹配源ip、目标ip、源端口、目标端口与相关字段和协议等）（序列号3000-3999）

二层acl“范围4000-4999”：对目标mac、源mac802.1q等二层协议进行规则制定（了解）

ps:本章主要讲述基础acl+高级acl

ACL的应用原则：

基本acl：用在靠近目的地的点

高级acl：尽量用在靠近源的地方（保护带宽与其他资源）

应用规则：

1、一个接口的同一方向，只能调用一个acl

2、一个acl包含多个rule规则，按照rule id从小到大排序，从上往下依次匹配

3、数据包一旦被某一条rule匹配到，不再往下匹配

4、用来做数据包访问控制时，默认隐含放过所有(华为环境)

反掩码：

1、如果只是表示一台设备的时候就是 0

2、默认24掩码下。c类网段的反掩码就是0.0.0.255（既c类网段的可用ip数）

指令：（华为）

备注：在你面对要求时，想好自己的规则建立规划，哪个端口，进还是出，怎么设立规则。再动手

基础acl(2000-2999)

简单设置某个源ip禁止访问

acl 2000；设置ACL编号rule 5 deny soure 192.168.1.1 0（0为反掩码，表示仅此一台）；设置5号规则，拒绝源地址192.168.1.1的流量int g0/0/1traffice-filter outbound acl 2000；进入1号端口并在出口端采用acl规则2000undo shutdown；端口不关闭

简单设置某个源ip允许访问

acl 2001；设置ACL编号rule permit source 192.168.1.0 0.0.0.255(0.0.0.255为反掩码）；设置规则，允许来自源地址192.168.1.1的流量｛未设置rule X时，默认从5开始｝rule deny source any 或者 rule deny；拒绝所有流量访问int g0/0/1traffic-filter outbound acl 2001；进入1号端口并在出口端采用acl规则2001

高级acl(3000-3999)

拒绝某个协议

acl 3000；设置ACL编号int g0/0/1rule deny icmp sourcr 192.168.1.0 0.0.0.255 destination 192.168.3.1 0 ;禁止来自192.168.1.0网段的流量对192.168.3.1主机的使用ICMP协议（ping）rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80；允许源ip地址位192.168.1.3的流量使用TCP协议通过80端口访问192.168.3.1的主机rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80：禁止任何流量通过tcp的80端口访问192.168.3.1主机rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21；禁止192.168.10.0的网段流量通过TCP协议的21号端口访问12.0.0.2的主机

int g0/0/1traffic-filter inbound acl 3000;该1号端口的进口端采用acl 3000undo traffic-filter inbound； 该端口取消acl x号规则undo rule X；取消规则第几号undo acl 2000；取消acl 2000

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。