ACL的基本原理与配置

---

一、ACL概述

ACL，中文名称是“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL，大大家肯定听不懂，那么我打个比喻，ACL相当于一个过滤器，ACL规则就是过滤器的滤芯，安装什么样的滤芯（即根据报文特征匹配的一系列ACL规则），ACL就能过滤出什么样的报文了。

• ACL是由一系列permit或deny语句组成的、有序规则的列表。
• ACL是一个匹配工具，能够对报文进行匹配和区分。
  

1.ACL的工作原理

ACL的工作原理:当数据包从接口经过时，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。

二、ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

1.规则编号

2.通配符

• 子网掩码：1的含义是精确匹配，0的含义是忽略匹配
• 通配符掩码：1的含义是忽略匹配，0的含义是精确匹配
  

二、ACL的分类与标签

三、基本ACL与高级ACL

四、ACL的匹配机制

五、ACL的匹配顺序及匹配结果

• 配置顺序(config模式)
  

1.ACL的匹配位置

ACL在接口上的应用：
在入口上：数据包从入口进路由器，就会被路由器处理。
在出口上：数据包在经过路由器处理后，才会让它从出口出去。

ACL的应用原则：
基本ACL，尽量用在靠近目的点。
高级ACL，尽量用在靠近源的地方。

应用规则
1、一个接口的同一个方向，只能调用一个ACL
2、一个ACI里面可以有多个rule规则，按照规则ID从小到大排序，从上往下依次执行
3、数据包一旦被某rule匹配，就不再继续向下匹配
4、用来做数据包访问控制时，默认隐含放过所有(华为设备)

2.入站（Inbound）及出站（Outbound）方向

1. 有测匹配，无则放行
2. 接口响应配置，要被调用

六、ACL的实验配置

一、实现第一个目标：仅允许PC1访问192.168.2.0/24网络（即仅允许PC1访问PC3）

<Huawei>sys	
[Huawei]sysname AR1
[AR1]int g0/0/0	
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip address 192.168.3.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip address 192.168.2.254 24
[AR1-GigabitEthernet0/0/2]q
[AR1]acl 2000	
[AR1-acl-basic-2000]rule permit source 192.168.1.10 0 	
[AR1-acl-basic-2000]rule deny 
[AR1-acl-basic-2000]q
[AR1]int g0/0/2	
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[AR1-GigabitEthernet0/0/2]q

1、配置路由器R1
2、配置PC机
3、分别在PC1和PC2上ping PC3
4、发现只有PC1可以Ping同PC3，PC2不能ping同PC3，实验目的实现

二、禁止192.168.1.0/24网络ping Web服务器

[AR1]acl 3000	
[AR1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.16
8.3.30 0
[AR1-acl-adv-3000]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
[AR1-GigabitEthernet0/0/1]q

1、配置路由器R1上的acl功能
2、配置服务器
3、用PC1和PC2 ping 服务器，发现不能接通，实验目的达到
4、为什么PC3也不能连通客户端，因为一开始完成目的一时，创建的acl2000是配置在G0/0/2端口上的，所以客户端 的请求不能达到PC3，所以不能接通。

三、仅允许Client1访问WEB服务器的www服务

<AR1>sys
[AR1]acl 3001	
[AR1-acl-adv-3001]rule permit tcp source 192.168.1.30 0 destination 192.168.3.30
 0 destination-port eq 80
[AR1-acl-adv-3001]rule deny icmp source 192.168.1.10 0 destination 192.168.3.30 
0
[AR1-acl-adv-3001]rule deny icmp source 192.168.1.20 0 destination 192.168.3.30 
0
[AR1-acl-adv-3001]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[AR1-GigabitEthernet0/0/0]q

1、配置路由器R1，此时注意配置acl时有端口号配置，所以需要用高级acl功能
2、配置服务器和客户端，获取文件