访问控制列表（ACL）

ACL的概念

ACL(Access Control List) 可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL可以通过定义规则来允许或拒绝流量的通过。

ACL分类

分类	编号范围	参数
基本ACL	2000~2999	源IP地址等
高级ACL	3000~3999	源IP地址、目的IP地址、源端口、目的端口等
二层ACL	4000~4999	源MAC地址、目的MAC地址、以太帧协议类型等

高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则

ACL规则

一个ACL可以由多条“deny | permit”语句组成，每一条语句描述了一条规则。
设备收到数据流量后，会逐条匹配ACL规则，看其是否匹配。
如果不匹配，则匹配下一条。
一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配。
如果找不到匹配的规则，则设备不对报文进行任何处理。

匹配规则：
ARG3系列路由器支持两种匹配顺序：配置顺序和自动排序。
配置顺序按ACL规则编号（rule-id）从小到大的顺序进行匹配。
设备会在创建ACL的过程中自动为每一条规则分配一个编号，规则编号决定了规则被匹配的顺序。
例如，如果将步长设定为5，则规则编号将按照5、10、15…这样的规律自动分配。
如果步长设定为2，则规则编号将按照2、4、6、8…这样的规律自动分配。
通过设置步长，使规则之间留有一定的空间，用户可以在已存在的两个规则之间插入新的规则。
路由器匹配规则时默认采用配置顺序。另外，ARG3系列路由器默认规则编号的步长是5。

实验

基础ACL

1）配置基本的ip地址，以及全网运行ospf
其他路由器配置同理

2）给R4配置telnet,并且使用R1登录（R2,R3也是可以登录进去的）

可以成功用R1远程登录R4

3）设置ACL,只允许R1 R3可以telnet，R2则不可以

此时R1，R3仍可成功远程登陆R4

4）在R3设置规则，让R1不可以ping通R4
设置之前：可以ping通

acl配置：

注意：如果路由器用的是Router,不支持在接口下使用ACL，需换用AR路由器

换用AR（其他配置保持不变）

再次ping,不通：

也无法再远程登陆R4

高级ACL

要求R1可以ping,但不能telnet R4

删除已经生效的某条acl规则

接口下删除acl配置：
[R3-GigabitEthernet0/0/0]undo traffic-filter inbound
换成高级acl
[R3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
最终结果：