华为网络设备实现网络安全访问，访问控制列表ACL,理论+实战

企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。

一、ACL应用场景

ACL可以通过定义规则来允许或拒绝流量的通过

二、ACL分类

1、一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则。

2、设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。如果不匹配，则匹配下一条。一旦匹配，则执行规则中定义的动作，并不再继续与后续规则进行匹配。如果找不到匹配的规则，则设备不对报文进行任何处理。

3、规则的匹配顺序决定了规则的优先级，ACL通过设置规则的优先级来处理规则之间重复或矛盾的情形。

4、ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序。配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。通过设置步长，使规则之间留有一定的空间。默认步长是5。路由器匹配规则时默认采用配置顺序。自动排序使用“深度优先”的原则进行匹配，即根据规则的精确度排序。

通配符掩码：

0 ---表示匹配

1 ---表示忽略

A

CL 用于匹配流量默认隐含一条permit any， 用于匹配路由默认隐含一条deny any

三、ACL配置

基本ACL： 针对源地址，靠近目的端配置

AR2进行配置：

[AR2]interface GigabitEt

hernet 0/0/1

[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

 

PC1可以访问服务器

192.168.2.0网段无法访问服务器

高级ACL： 一般靠近源端

[AR1]acl number 3000

[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0

[AR1-acl-adv-3000]int g 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

[AR1]acl number 3000

[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp

ACL配置成功拒绝访问FTP服务。