带你认识ACL

 ACL的定义：

            访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如         IP、IPX、AppleTalk等。

            简单的说，ACL是一个列表，列表中有规则rule，通过这些规则从而定义了哪些流量可以通过，哪些流量被pass掉了。具体来说呢ACL可以用数字命名（ACL number），其中number的取值范围也是有规定的：

• 2000～2999：基本IPv4 ACL；  
  

• 3000～3999：高级IPv4 ACL； 
  

• 4000～4999：二层ACL；

而ACL name是指定ACL的名称。acl-name表示IPv4 ACL的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，IPv4 ACL的名称不可以使用英文单词all。

            ACL的配置思路：

                            基本ACL （2000-2999）

                                   ----仅仅管制IP头部中的 source-ip；

            1、确保原有数据的连同性（基于现网的需求）        

                在没有实施ACL之前，PC-1与PC-2之间是互通的

            2、查看设备上已经存在的ACL

                        [R1] display acl 2000/all

            3、创建ACL

                        [R1] acl 2000

                        [R1-acl-basic-2000] rule [id] deny source [IP Address]  0.0.0.0

            4、调用ACL

                        [R1] interface gi0/0/0

                        [R1-gi0/0/0] tranffic-filter inbound acl 2000

            5、验证、测试、保存

                        display acl 2000

                        ping x.x.x.x

                        save

删除ACL：

        1、正确的删除方法：

                        #首先接触ACL调用关系

                                Interface  Gi0/0/0

                                undo tranffic-filter  inbound

                                display this

                        #其次删除ACL条目本身

                                undo acl 2000

                        #验证最后删除的结果

                                display acl 2000

注意：1、同一个端口的，同一个方向，只能有一个ACL被调用

          2、如果想更改端口上调用的ACL，必须先删除 端口上调用的ACL命令

                  然后重新调用一个新的ACL。

          3、端口上的ACL,不允许覆盖。

          4、华为中的ACL，没有匹配住的流量，默认是允许的

          4、基本ACL/标准ACL，强烈建议调用在‘距离目标地址’最近的地方

          5、 rule   [id默认为5]     下一次递增为10      步调长度   5

在全网互通的情况下要求PC4与PC5与全网主机互通，与其他流量全不通。如图：

        1、创建ACL

                    [R2]acl name Only-PC4-5 advance

                    [R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.30.1

                    [R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.20.1

                    [R2-acl-adv-Only-PC4-5] rule 100 deny ip

 

        2、调用ACL

            [R2]interface gi0/0/0

            [R2-gi0/0/0]traffic-filter inbound acl Only-PC4-5

        3、验证、测试、保存

            display acl Only-PC4-5

            display traffic-filter applied-record

            ping x.x.x.x

        在R1上也创建ACL在Gi0/0/0口上调用ACL就可以实现其他流量不通，PC4和PC5与全网互通。

                                                                                                                                                                                                         以上就是本人对ACL的见解，希望能帮助到您。