ACL控制流量的方法有很多，你又知道哪几种？

目录

一丶ACL的基本知识

二丶ACL的分类

三丶ACL的配置

 

一丶ACL访问控制列表的基本知识

（一）ACL访问控制列表的作用

1,   访问控制：在路由器流量流入或者流出的接口上，匹配流量，之后执行设定好的动作。（permit ---允许，deny---拒绝）

2,   抓取感兴趣流：ACL可以和其他服务结合使用，ACL只负责抓取流量，其他服务负责执行相应的处理。

（二）ACL的匹配规则

自上而下，逐一匹配，一旦匹配上则将按照对应的动作来执行，而不再向下匹配。

思科体系—ACL访问控制列表末尾隐含了一条拒绝所有的规则。

华为体系—对匹配不上的流量不做额外处理。

二丶ACL的分类

1，基本ACL

匹配流量时，仅关注数据包中的源IP地址。

2，高级ACL

匹配流量时，不仅关注数据包中的源IP地址，还关注数据包中的目标IP地址。以及协议和端口号

3，二层 ACL

4，用户自定义ACL

三丶ACL的配置

（一）需求一---要求PC1可以访问3.0网段，但是PC2不行

基本ACL配置位置原则-因为基本ACL只关注数据包中的源IP,所以 肯能导致误伤，所以，在配置的时候，应该尽可能的靠近目标。

1，创建ACL访问控制列表

[r2]acl 2000

[r2-acl-basic-2000]

2000-2999 基本ACL

3000-3999 高级ACL

4000 -4999 二层ACL

2,   给ACL列表中添加匹配规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

通配符： 1代表可以变，0代表不可变

[r2-acl-basic-2000]rule permit source any ---允许所有

[r2-acl-basic-2000]display acl 2000 ---查看ACL列表

华为设备默认以5为步调自动添加规则序号，为了使插入和删除 规则更加方便。

[r2-acl-basic-2000]rule 8 deny source 192.168.1.2 0.0.0.0 [r2-acl-basic-2000]undo rule 8

3,   接口调用ACL列表

[r2-GigabitEthernet0/0/l]traffic-filter outbound acl 2000

切记：一个接口的一个方向只能调用一张ACL列表，一个接口可以有两张表

（二）需求二：要求PC1可以ping通PC3,但是不能ping通PC4

高级ACL列表的位置匹配规则---因为高级ACL列表进行了精确匹配，所以，不会出现误伤，在调用的时候应该尽量靠近源，减少资源的占用。

[rl]acl name xuqiu2 3000 ---通过重命名的方式创建ACL列表

[rl-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168

.3.3 0.0.0.0

[rl-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 --- 通过名称进行调用

（三）需求三：要求PC1可以Ping通R2,但是不能telnet R2

[rl-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0destination 192.168.2.2 0.0.0.0 destination-port eq 23

都看到这里了，创作不易，点个关注小赞再走呗(｡･ω･｡)ﾉ♡