了解ACL（訪問控制列表）一些簡單的ACL小實驗

• 一、訪問控制列表（ACL）
• • 1.1ACL工作原理
  • 1.2ACL的兩種作用
  • 1.3訪問控制列表在接口應用的方向
• 二、訪問控制列表的處理過程
• 三、ACL的種類
• 四、ACL的應用原則
• 五、ACL的應用規(guī)則
• 六、ACL的命令
• • 6.1基本ACL配置
  • 6.2高級ACL配置
• 七、ACL的實驗操作
• • 7.1僅允許PC1訪問192.168.2.0/24
  • 7.2禁止192.168.1.0/24網絡ping Web服務器
  • 7.3僅允許Client1訪問Web服務器的WWW服務

一、訪問控制列表（ACL）

●讀取第三層，第四層包頭信息
●根據預先定義好的規(guī)則對包進行過濾

1.1ACL工作原理

當數據包從接口經過時，由于接口啟用acl，此時路由器會對報文進行檢查，然后做出相應的處理

1.2ACL的兩種作用

1.用來對數據包做訪問控制
2.結合其他協(xié)議，用來匹配范圍

1.3訪問控制列表在接口應用的方向

出：已經過路由器的處理，正離開路由器接口的數據包
入：已到達路由器接口的數據包，將被路由器處理

二、訪問控制列表的處理過程

三、ACL的種類

1.基本acl（2000-2999）：只能匹配源IP地址
2.高級acl（3000-3999）：可以匹配源IP、目標IP、源端口、目標端口等三層和四層的字段。
3.二層acl（4000-4999）：根據數據包的源MAC地址、目的MAC地址、802.1q優(yōu)先級、二層協(xié)議類型等二層信息制定規(guī)則（僅作了解）

四、ACL的應用原則

基本acl，盡量用在靠近目的點
高級acl，盡量用在靠近源的地方（用來保護帶寬和其他資源）

五、ACL的應用規(guī)則

1.一個接口的同一個方向，只能調用一個acl
2.一個acl里面可以有多個rule規(guī)則，按照規(guī)則ID從小到大排序，從上往下依次執(zhí)行
3.數據包一旦被某個rule匹配，就不再繼續(xù)向下匹配
4.用來做數據包訪問控制時，默認隱含放過所有（華為設備）

六、ACL的命令

6.1基本ACL配置

[Huawei]acl number 2000

###創(chuàng)建acl 2000

拒絕源地址[Huawei-acl-basic-2000]rule 5 deny source 192.168.1.1 0

###拒絕源地址為192.168.10.1的流量，0代表僅此一臺，5是這條規(guī)則的序號(可不加)

[Huawei] interface GigabitEthernet 0/0/1

[ Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

###接口出方向調用acl2000， outbound代表出方向，inbound代表進入方向

[Huawei -GigabitEthernet0/0/1]undo sh

[Huawei]acl number 2000

###進入acl 2000列表

允許源地址[Huawei -acl -basic- 2001]rule permit source 192.168.1.0 0.0.0.255

###permit代表允許，source代表來源，掩碼部分為反掩碼

[Huawei-acl-basic-2000] rule deny source any

###拒絕所有訪問，any代表所有0.0.0.0 255.255.255.255或者rule deny

[Huawei] interface GigabitEthernet 0/0/1 ##進入出口接口

[Huawei -GigabitEthernet0/0/1]ip address 192.168.2.254 24

[Huawei -GigabitEthernet0/0/1]traffic-filter outbound acl 2000

6.2高級ACL配置

[Huawei]acl nmuber 3000

#拒絕tcp為高級控制,所以3000起

拒絕Ping[ Huawei-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0

###拒絕Ping

允許[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
###destination代表目的地址，destination-port代表目的端口號，80可用www代替

[Huawei-acl-adv- 3000] rule deny tcp source any destination 192.168.3.1 0 destination-port eq 80

[Huawei-acl-adv-3000] rule deny tcp source 192.168.10.0 0.0.0.255 destination 12.0.0.2 destination-port eq 21
###拒絕源地址192.168.10.0網段訪問FTP服務器12.0.0.2

[Huawei-acl-adv-3000]dis this

###查看當前ACL配置是否配置成功

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24

[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

###在接口入方向應用acl

[Huawei -Gigabi tEthernet0/0/1]undo traffic- filter inbound

###在接口上取消ac1的應用

[Huawei] display acl 3000

###顯示acl配置

[Huawei] acl nmuber 3000

[Huawei -acl-adv-3000]dis this

###查看規(guī)則序號

[Huawei-acl-adv- 3000]undo rule

###刪除一條acl語句

[Huawei]undo acl number 3000

###刪除整個ACL

七、ACL的實驗操作

7.1僅允許PC1訪問192.168.2.0/24

可以看到192.168.1.1的PC1主機可以ping通，其余的主機ping不通。
實驗完成

7.2禁止192.168.1.0/24網絡ping Web服務器

可以看到已近ping不通了，說明192.168.1.0/24網絡已被拒絕訪問 Web服務器

7.3僅允許Client1訪問Web服務器的WWW服務

可以訪問Web服務器的WWW服務。

總結

以上是生活随笔為你收集整理的了解ACL（访问控制列表）一些简单的ACL小实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。