八、访问控制列表（Access Control List，ACL）

• 访问控制列表（Access Control List，ACL）
  • 为什么需要ACL
    • 安全
    • 匹配数据报文
    • 匹配路由信息
  • 什么是ACL
    • Access control list 访问控制列表
  • ACL的应用场景
    • 匹配数据报文，进行数据报文的过滤，限制访问，提高安全性
    • 匹配路由，进行路由过滤
    • 匹配数据报文，进行NAT，实现外网资源的访问
  • ACL类型
    • 基本ACL/标准ACL
      • 华为 2000-2999
      • 思科 1-99，1300-1999
      • 只匹配数据报文的源IP
    • 扩展ACL/高级ACL
      • 华为 3000-3999
      • 思科 100-199，2000-2699
      • 配置数据报文的源IP、目的IP、源端口、目的端口、协议
    • 基本ACL应用在靠近目的，扩展应用靠近源，比较合理，具体根据场景
  • ACL匹配规则
    • 1.匹配顺序从上往下，即序号从低到高
    • 2.一旦匹配成功执行相应动作，跳出ACL
    • 3.无对应匹配项，看最后一条，华为最后一条默认允许所有；思科默认最后一条拒绝所有
  • 配置命令
    • permit 允许 deny 拒绝
    • 华为
      • 基本ACL
        • 方法一：
        • acl name X basic //基本ACL
        • rule 5 deny source 1.1.1.2 0
        • rule permit source any
        • interface GigabitEthernet0/0/0 //对应接口调用，过滤数据报文
        • traffic-filter inbound acl name X
        • 方法二：
        • acl 2000
        • rule 5 deny source 1.1.1.2 0
        • interface GigabitEthernet0/0/0 //对应接口调用，过滤数据报文
        • traffic-filter inbound acl 2000
      • 扩展ACL
        • 方法一：
        • acl name X advance //扩展ACL
        • rule 5 deny ip source 1.1.1.3 0 destination 23.1.1.2 0
        • rule 10 permit ip
        • 方法二：
        • acl 3000
        • rule 5 deny ip source 1.1.1.3 0 destination 23.1.1.2 0
        • rule 10 permit ip
      • vty 线路ACL应用 acl 3000 inbound
      • acl 序号的步长 5 递增，默认从5开始
    • 思科
      • 标准ACL
        • access-list X {permit | deny } source x.x.x.x x.x.x.x // 增加ACL，此ACL按照配置顺序给序列号（序列号不可修改），删除即删除所有
        • 或者
        • ip access-list standard X //命令中可以增删减某条ACL，也可一次性删除（编号，名字的不可一次性）
        • X per
        • int f0/0
        • ip access-group X {in | out}
      • 扩展ACL
        • access-list 100 deny ip host 192.168.15.5 192.168.24.0 0.0.0.255
        • 或者
        • ip access-list exten X
        • X per
        • int f0/0 // ACL的应用
        • ip access-group X {in | out}
      • vty 线路ACL应用 access-class 1 in/out
      • acl 序号的步长 10 递增，默认从10开始
    • 反掩码与正掩码
      • 192.168.1.0/24
        • 正掩码:255.255.255.0 看网段
        • 反掩码：0.0.0.255 看范围