ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。

目录

ACL的组成：

创建ACL访问控制列表的两种的方式：

1、数字命名：

2、字符串命名方式：

ACL创建步骤：

1、先创建ACL列表：

进入acl列表：

2、配置ACL的一条条规则：

3、进入需要应用这个访问控制列表的接口：

修改规则默认步长:（默认步长为5）

子网掩码：

反掩码：

通配符掩码：

ACL的分类与标识：

ACL匹配机制：

---

ACL的组成：

ACL由若干条permit或deny语句组成，每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

permit  ---->  允许列表

deny    ---->  拒绝列表

创建ACL访问控制列表的两种的方式：

1、数字命名：

acl number +数字（0~4294967294）

2、字符串命名方式：

acl name +字母 +acl类型

举例两种acl类型：
Basic --- 基础acl
Advanced --- 高级acl

如下图所示字符串命名方式： 

 

 

ACL创建步骤：

1、先创建ACL列表：

acl number 2000      //创建基础访问控制列表的编号为2000 

进入acl列表：

acl +acl列表名字

进入acl列表2000
acl 2000

2、配置ACL的一条条规则：

（用户自定义规则）---（规则编号的范围：0~4294967294）

rule 5 permit source 1.1.1.0 0.0.0.255   
 //rele 5 规则的编号为5（可以不写，每个规则编号默认隔开5号【默认编号间隔步长为5，步长是为了后续在旧规则之间，插入新的规则】），编号越小越优先处理

rule 10 deny source 2.2.2.0 0.0.0.255    // permit、deny允许通过或拒绝该流量通过

rule 15 permit source 3.3.3.0 0.0.0.255  // 匹配项（此处为源IP地址）

3、进入需要应用这个访问控制列表的接口：

traffic-filter inbound acl 2000   //流量过滤使用编号为acl 2000的访问控制列表

注：

1、每个ACl列表末尾隐含的规则----每个ACL列表默认规则，我们看不到的规则

Rule 4294967294 permit any  
 //编号为4294967294的规则，默认允许所有数据通过（也就是没被前面规则拒绝的流量都会被允许通过【华为设备默认通过】【思科设备默认全部拒绝】）

2、越精确的ACl规则越先写，规则号数越前，因为数据匹配到该规则后，就不会继续往下匹配。

修改规则默认步长:（默认步长为5）

#需进入访问控制列表设置

Step 10   //修改acl规则默认步长为10，已存在的规则也会重新以步长为10的间隔排序好。

子网掩码：

配置地址时，配置子网掩码

反掩码：

ospf配置用到反掩码，255.255.255.255 -（减去）子网掩码。0代表匹配，1代表忽略，反掩码0和1是连续的。

通配符掩码：

ACL用到通配符掩码，0代表匹配，1代表忽略，0和1可以不连续。

注：要精确放行某个IP地址就需要全0的通配符掩码。

例：

#全0的通配符掩码用于匹配一个具体的地址。

192.168.1.1 0.0.0.0

#放行某一个网段的话，就用那个位数的通配符掩码

 

ACL的分类与标识：

创建acl访问控制列表时，使用的数字编号在2000到2999这个范围，则创建的是基本acl。

基本acl只会管理看源IP地址，不会管目标IP地址

acl number 2000    //创建一个基本acl访问控制列表

简写：acl 2000
退出访问控制列表后，想要回到访问控制列表继续配置规则时，进入方式也是：acl 200
进入acl访问控制列表：
acl +ACL列表名

创建acl访问控制列表时，使用数字编号在3000到3999这个范围，则创建的基本acl。以此类推。

高级acl会看源IP地址，也会看目标IP地址，可以更精确的确定规则

acl number 3000    //创建一个高级acl，列表名为3000

创建基础访问控制列表：

acl 2000~2999都是基础访问控制列表：

acl number 2000

定义规则：

 基本acl只能对数据的源ip地址进行控制，拒绝或允许某网段的数据访问，

rule 100 deny source 1.1.1.0 0.0.0.255 
拒绝来自1.1.1.0网段的数据通过该接口

 进入接口配置流量过滤器：

 进入需要配置流量过滤器的接口

traffic-filter inbound acl 2000   //入站流量控制
traffic-filter outbound acl 2000  //出站流量控制

创建高级访问控制列表步骤：

acl 3000~3999都是高级访问控制列表：

acl number 3000

 定义规则：

高级访问控制列表可以实现源ip到目标ip的数据访问控制，可以更精确更精准的实现数据访问操控。

 rule 21 permit ip source 3.3.3.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 

1、定义编号为21号的规则
2、允许IP协议数据通过
3、允许源IP地址网段为3.3.3.0 目的地址网段是1.1.1.0 的数据通过

进入接口使用该访问控制列表规则 ：

流量过滤器使用acl 3000的访问控制列表

traffic-filter inbound acl 3000

实例： 

 小提示：每个规则编号默认间隔5位整数位

 然后就可以实现3.3.3.0网段的pc机能与1.1.1.0网段的pc机通信，与3.3.3.0网段的pc机无法通信。

 其余未命中规则的pc机可以相互访问（华为设备）

ACL匹配机制：

1、数据会在接收和发送时检测接口是否存在ACL访问控制列表。不存在控制列表在则直接通行。

2、若有访问控制列表，则查看是否存在访问规则。不存在规则则直接通行。

3、若存在规则，则分析第一条规则。若命中规则，则查看第6条。

4、若未命中规则，则查看是否有下一条规则。若没有下一条规则，则ACL匹配结果为不匹配，华为设备对ACL匹配结果为不匹配的数据默认为允许通行、思科设备则不允许通行。

5、访问下一条规则，若命中规则，ACL动作是permit还是deny。

6、若命中规则为permit，则ACL匹配结果为允许。若命中规则为deny，则ACL匹配结果为拒绝。