ACL：访问控制列表（Access Control List）

目录

技术背景

概念

ACL实现方法

配置

1.数据的流量走向 

2.ACL部署的具体位置

3.配置ACL

4.在接口上调用ACL，并声明方向

---

ACL通过定义一系列规则，设备根据这些规则对数据包进行分类并处理，从而达到控制网络访问行为，限制网络流量，提高网络性能，防止网络攻击等目的。

技术背景

ACL可以通过定义规则来允许或拒绝流量的通过。

概念

ACL是管理者手动添加的，用于数据包访问控制的列表，路由器通过逐条读取列表中的条目来决定数据包放行或丢弃，是路由器处理数据包的行为规范手册。

ACL的两大用处：

1. 控制数据的流量
2. 匹配感兴趣的流量

每个ACL可以包含多个规则

permit:允许

deny:拒绝

rule 编号 网段 通配符

通配符：0匹配的不可变，1匹配的可变

ACL实现方法

确定部署位置，匹配对应流量， 决定调用方向，查看以及测试。

就近原则：在配置ACL时，一定要选择最近的路由器或三层设备接口进行截取

按序匹配：只要匹配到了立即停止，命中即生效

黑白名单：黑名单，只有名单上的不能过，白名单，只有名单上的能过（隐式拒绝，一个ACL启用，不做任何配置，默认不允许任何数据通过 ）

在现网中配置ACL，一定记得加 permit any any

配置

1.数据的流量走向 

判断数据流量下接口的方向 inbound outbound

具体是in还是out没有固定的接口，都是以数据流向定的

2.ACL部署的具体位置

按照就近原则部署

3.配置ACL

确定是基本的还是高级的

permit deny 一定记得加 permit any any

如果不具体声明rule编号，则按照默认步长进行顺序排序

设定步长为了后续更方便的进行添加，插入，默认步长5

4.在接口上调用ACL，并声明方向

 

 SW1:

vlan batch 10 20
int vlanif 10
ip add 192.168.1.254 24
int vlanif 20
ip add 192.168.2.254 24
int g0/0/1
port link-type access
port de vlan 10
int g0/0/2
port link-type access
port de vlan 20
vlan 11
int g0/0/3
po link-type access
po de vlan 11A
int vlanif 11
ip add 11.1.1.2 24
ip route-static 0.0.0.0 0.0.0.0 11.1.1.1

AR1:

int g0/0/0
ip add 11.1.1.1 24
int g0/0/1
ip add 12.1.1.1 24
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
ip route-static 192.168.1.0 24 11.1.1.2
ip route-static 192.168.2.0 24 11.1.1.2

acl 2000 
rule deny source 192.168.1.0 0.0.0.255
int g0/0/1
traffic-filter outbound acl 2000

AR2:

int g0/0/0
ip add 12.1.1.2 24
int l0
ip add 2.2.2.2 24
ip route-static 0.0.0.0 0.0.0.0 12.1.1.1