路由策略各种条件工具—访问控制列表（ACL）（查看路由策略）

路由策略各种条件工具—访问控制列表（ACL）（查看路由策略）

定义：访问控制列表ACL（access control list）是由permit 和 deny 语句组成的一系列有顺序规则的集合，它通过匹配报文的信息实现对报文的分类。

ACL的分类：

基本ACL：主要基于源地址、分片标记和时间段信息对数据包进行分类定义，编码范围为2000~2999高级ACL：可以基于源地址、目的地址、源端口、目的端口、协议类型、优先级、时间段等信息对数据包进行更为细致的分类定义，编码范围为：3000~3999二层ACL：主要基于源MAC地址、目标MAC地址和数据报文类型等信息对数据包进行分类定义，编码范围为：4000-4999用户自定义ACL：主要根据用户定义的规则对数据报文做出相应的处理，编码范围为：5000~5999

instance 1：

acl 2001 //acl number：number：2000~2999

rule 0 permit source 1.1.0.0 0.0.255.255

注解：rule [ rule-id ] { deny | permit } source { source-address source-wildcard | any }

解题：判定哪些数据能够通过

A 1.1.1.1/32

B 1.1.1.0/24

C 1.1.0.0/16

D 1.0.0.0/8

判断的依据：ACL访问控制列表所能包括的范围：通配符掩码为：0.0.255.255，转为二进制0000 0000.0000 0000.1111 1111.1111 1111，前16位为精确匹配项：1.1.，后16位为忽略位：X.X，1.1.X.X

允许通过的IP地址为：1.1.0.0~1.1.255.255

结论为：

A 1.1.1.1/32可以正常通过

B 1.1.1.0/24可以正常通过

C 1.1.0.0/16可以正常通过

D 1.0.0.0/8不能正常通过

instance 2：

acl 2001 //acl number：2000~2999

rule 0 permit source 1.1.1. 0.0.0.0

rule 1 deny source 1.1.1.0 0.0.0.0

rule 2 permit source 1.1.0.0 0.0.255.0

rule 3 deny source any

判断的依据：

解析：

1）rule 0 permit source 1.1.1.1 0.0.0.0

允许通过的IP地址为：1.1.1.1

2）rule 1 deny source 1.1.1.0 0.0.0.0

禁止通过的ip地址为：1.1.1.1~1.1.1.255（1.1.1.0为网络地址，此网段被禁止）

3）rule 2 permit source 1.1.0.0 0.0.255.0

允许通过的ip地址为1.1.1.1~1.1.255.255（1.1.0.0为网络号，此网段被允许）

结论为：

A 1.1.1.1/32允许

B 1.1.1.0/24禁止

C 1.1.0.0/16允许

D 1.0.0.0/8 禁止

instance 3：

允许某台主机：rule 5 permit source 192.168.1.1 0.0.0.0

instance 4：

允许全部主机：rule 5 permit source 0.0.0.0 255.255.255.255

特别注意事项：华为设备默认为全部允许

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。