ACL（访问控制列表）基础篇

ACL（访问控制列表）基础篇

**ACL，是Access Control List的简写，中文名称叫做“访问控制列表”。**它是由一系列条件规则（即描述报文匹配条件的判断语句）组成， 这些条件规则可以是报文的源地址、目的地址、端口号等，是一种应用在网络设备各种软硬接口上的的指令列表。

acl访问控制列表：
acl访问控制列表主要分为3类：
1、基本访问控制列表（2000-2999）只能针对source ip地址进行限制
2、告警访问控制列表（3000-3999）可以针对源ip、目的ip、源端口、目的端口进行限制
3、二层访问控制列表（4000-4999）可以针对二层数据帧进行控制。
本文主要进行基本访问控制列表及告警访问控制列表的实验。

二、实验要求
R1为部门1网关
R2为部门2网关
R3为去往总部出口网关设备
R4为总部核心路由器
要求只有R1能方位R4，其他设备均不能访问

三、基本配置
进行基础ospf配置

四、ACL配置
先配置telnet：
R4：user-interface vty 0 4
R4：authentication-mode password
please~~~：huawei
再配置acl：
R4：acl 2000 //基本的acl为2000到2999
R4：rule 5 permit source 1.1.1.1 0 //允许1.1.1.1的数据报文通过
acl配置完成后，需要在vty中调用使用inbound（由低安全区到高安全区）参数
R4：user-interface vty 0 4
R4：acl 2000 inbound

在R1上进行telnet -a 1.1.1.1 4.4.4.4 可以连通
在R2上进行telnet 4.4.4.4 无法访问4.4.4.4

实验结果表明acl已经完全生效
五、高级访问控制列表配置
基本acl只能用于匹配ip地址，实际应用中往往需要针对数据包的其他参数进行匹配，例如目的ip地址，协议号、端口号等，所以基本acl由于匹配的局限性无法实现更多的功能。

高级acl编号范围为：3000~3999
六、高级ACL配置
先配置telnet：
R4：user-interface vty 0 4
R4：authentication-mode password
please~~~：huawei
再配置acl：
R4：acl 3000 //基本的acl为2000到2999
R4：rule 5 permit ip source 1.1.1.1 0 destination 4.4.4.4 0 //允许源地址为1.1.1.1的访问4.4.4.4
acl配置完成后，需要在vty中调用使用inbound（由低安全区到高安全区）参数
R4：user-interface vty 0 4
R4：acl 3000 inbound

测试：
R1：telent -a 1.1.1.1 40.40.40.40
无法访问

高级acl配置已经生效

作者：danieldai
链接：https://www.jianshu.com/p/2e90284ec05a
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。