ACL ——路由器接口的 “ 保安 ”

ACL （Access Control Lists）——访问控制列表

• ACL的安保作用：

1.在路由器流量的进出口匹配流量，限制进出 —— 保安监督出入人员
2.定义特定的流量 —— 学校封校，学生不给出入，教职工可自由出入

• ACL匹配规则：
  自上而下的依次匹配，且一旦匹配成功就不再再往下—— 高考志愿录取
• CISCO和华为的区别：
  1.Cisco拒绝所有（独裁），就是只有ACL允许的流量才可以进入，其他通通不可以
  2.华为允许所有（** 没门槛**），只有ACL拒绝的流量才会被拒绝进入，别的全部都可以进去

ACL分类：

1. 标准ACL：仅匹配流量的源IP地址 编号：2000-2999
2. 扩展ACL：匹配流量源/目标IP，目标端口号与协议号 编号：3000-3999

一、Cisco上ACL的配置：

interface g0/0/0    //首先进入接口
access-list 1300 permit/deny source 192.168.1.2 0 //标准ACL的编号 1300  拒绝一个ip
ip access-group 1300 in //配置该接口的in方向的ACL
ip access-group 1300 out //配置该接口的out方向的ACL

一个端口仅仅可以在in/out方向上各写一条ACL

二、华为上ACL的配置：

标准ACL:
acl 2000
rule deny/permit source 192.168.1.1 0 //拒绝/允许一个IP
rule deny/permit source 192.168.1.0 0.0.0.255 //拒绝一个范围
interface g0/0/0   //进入接口
traffic-filter inbound acl 2000 //让本接口调用acl
traffic-filter outbound acl 2000  //撤销调用
undo traffic-filter inbound acl 2000   //撤销调用

ACL配置可以用通配符，OSPF用反掩码
区别：

1. 通配符可以0或255穿插用 例子：0.255.0.255
2. 反掩码必须0或255连用 例子：0.0.0.255

增加序号：
rule 5 deny/permit source 192.168.1.1 0 //增加序号5  ，序号以5进行递增/减
为了删除命令方便 :undo rule 5 

扩展ACL:
acl 3000

rule deny/permit ip suorce 192.168.1.1 0 destination 192.168.1.2 0
                协议       源IP                      目标IP

拒绝某个主机ping本机:
rule deny icmp source 192.168.1.1 0 destination 192.168.2.1 0

拒绝telnet某个主机的远程连接:
rule deny tcp source 192.168.1.1 0 destination 192.168.2.1 0 destination-port eq 23  //目标端口号

traffic-filter inbound acl 3000 //让本接口调用acl
traffic-filter outbound acl 3000  //撤销调用
undo traffic-filter inbound acl 3000   //撤销调用

关于匹配流量的端口号与协议

1. TELNET 用 TCP协议在 23端口进行
2. HTTP 用TCP 协议在 80端口进行
3. RIP 用UDP协议在 520端口进行