ACL的定义:

            访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如         IP、IPX、AppleTalk等。

            简单的说,ACL是一个列表,列表中有规则rule,通过这些规则从而定义了哪些流量可以通过,哪些流量被pass掉了。具体来说呢ACL可以用数字命名(ACL number),其中number的取值范围也是有规定的:

  • 2000~2999:基本IPv4 ACL;  

  • 3000~3999:高级IPv4 ACL; 

  • 4000~4999:二层ACL;

而ACL name是指定ACL的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。

            ACL的配置思路:

                            基本ACL (2000-2999)

                                   ----仅仅管制IP头部中的 source-ip;

带你认识ACL_第1张图片

            1、确保原有数据的连同性(基于现网的需求)        

                在没有实施ACL之前,PC-1与PC-2之间是互通的

            2、查看设备上已经存在的ACL

                        [R1] display acl 2000/all

            3、创建ACL

                        [R1] acl 2000

                        [R1-acl-basic-2000] rule [id] deny source [IP Address]  0.0.0.0

            4、调用ACL

                        [R1] interface gi0/0/0

                        [R1-gi0/0/0] tranffic-filter inbound acl 2000

            5、验证、测试、保存

                        display acl 2000

                        ping x.x.x.x

                        save

删除ACL:

        1、正确的删除方法:

                        #首先接触ACL调用关系

                                Interface  Gi0/0/0

                                undo tranffic-filter  inbound

                                display this

                        #其次删除ACL条目本身

                                undo acl 2000

                        #验证最后删除的结果

                                display acl 2000

注意:1、同一个端口的,同一个方向,只能有一个ACL被调用

          2、如果想更改端口上调用的ACL,必须先删除 端口上调用的ACL命令

                  然后重新调用一个新的ACL。

          3、端口上的ACL,不允许覆盖。

          4、华为中的ACL,没有匹配住的流量,默认是允许的

          4、基本ACL/标准ACL,强烈建议调用在‘距离目标地址’最近的地方

          5、 rule   [id默认为5]     下一次递增为10      步调长度   5

在全网互通的情况下要求PC4与PC5与全网主机互通,与其他流量全不通。如图:

带你认识ACL_第2张图片

        1、创建ACL

                    [R2]acl name Only-PC4-5 advance

                    [R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.30.1

                    [R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.20.1

                    [R2-acl-adv-Only-PC4-5] rule 100 deny ip

 

        2、调用ACL

            [R2]interface gi0/0/0

            [R2-gi0/0/0]traffic-filter inbound acl Only-PC4-5


        3、验证、测试、保存

            display acl Only-PC4-5

            display traffic-filter applied-record

            ping x.x.x.x


        在R1上也创建ACL在Gi0/0/0口上调用ACL就可以实现其他流量不通,PC4和PC5与全网互通。

                                                                                                                                                                                                         以上就是本人对ACL的见解,希望能帮助到您。