ACL(访问控制列表)
ACL(访问控制列表)
文章目录
一、ACL(access list)
1.ACL概论
读取源IP,目的IP,源端口以及目的端口(通讯四元素)
对TCP以及IP包头进行过滤
2.在接口应用的方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
列表应用到接口的方向与数据方向有关
3.ACL的处理过程
4.ACL作用
- 用来对数据包做访问控制(丢弃或者放行)
- 结合其他协议,用来匹配范围
5.ACL种类
- 基本ACL(2000-2999):只能匹配源IP地址
- 高级ACL(3000-3999):可以匹配通讯四元素
6.ACL应用原则
- 基本ACL:尽量用在靠近目的点
- 高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
7.ACL应用规则
1.一个接口的同一个方向,只能调用一个ACL
2.一个ACL里面可以有多个ruel规则,按照规则ID从小到大排序,从上往下依次执行
3.数据包一旦被某ruel匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有
二、配置ACL的命令
[Huawei]acl number 2000 ## 创建acl2000
[Hlawei-acl-basic-2000]rule 5 deny source 192,169,1,1.0 ###拒绝源地址为192.160.10.1 的流量,0代表仅此一台,5是这条规则的序号(可不加)
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ## 接口出方向调用acl2000,outbound代表出方向,inbound代表进入方向
[Huawei-GigabitEthernet0/0/1]undo shutdown
[Huawei]acl number 2001 ##进入ACL2000列表
[Huawei-acl-basic-2001lrule permit source 192.168.1.0 0.0.0.255 #tpermit代表允许,source代表来源,掩码部分为反掩码
【Huawei-acl-basic-2001】rule deny source any ###拒绝所有访问,any代表所有0.0.0.0 255.255.255.255 或者 rule deny
【Huawei】interface GigabitEthernet 0/0/1#进入出口接口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GiqabitEtherneto/0/1jtraffic-filter outbound acl 2001
[Huawei]acl nmuber 3000 ##拒绝tcp为高级控制,所以3000起
[Huwei-acl-adv-3000]rule deny icmp source 192.168.1.00.0.0.255destination192.168.3.10#拒绝Ping
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination192.168.3.10destination-port eq 80 ###destination代表目的地地址,destination-port代表目的端口号,80可用www代替
[Huawei-acl-adv-3000]rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80
[Huawei-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21 #拒绝源地址192.168.10.0网段访问FTP服务器12.0.0.2
【Huawei-acl-adv-3000】dis this
[Huawei]interface g0/0/0
Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound
【Huawei】 display acl 3000
[Huawei]acl nmuber 3000
[Huawei-acl-adv-3000]dis this
[Huawei]undo acl number 3000
###删除整个ACL