华为路由交换课程笔记14-ACL

一、简介

1、ACL（Access Control List）访问控制列表可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等待。

  2、ACL可以通过定义规则来允许或拒绝流量的通过，可以根据需求来定义过滤的条件已经匹配条件后所执行的动作。

 

分类	编号范围	参数
基本ACL	2000-2999	源IP地址
高级ACL	3000-3999	源IP地址、目的IP地址、源端口、目的端口等
二层ACL	4000-4999	源MAC地址、目的MAC地址、以太帧协议类型等

3、每个ACL可以可以包含多个规则，RTA根据规则来对数据流量进行过滤，Rule-id用于决定规则的优先级，处理规则之间的重复或者矛盾。如果不匹配，则匹配下一条，一旦找到一条匹配的规则，则执行规则中定义的动作，并不再继续与后续规则进行匹配，如果找不到匹配的规则，则设备不对报文进行任何处理。

二、基本ACL配置

基本ACL尽量配置在靠近目的的端口位置

相关命令示例：

acl 2000                   //设置编号，也可以直接命名，但需要指定为基本类型，如acl name test basic，其中basic表示基本类型

  rule deny source 192.168.1.0 0.0.0.255   //拒绝192.168.1.0/24网段的源主机访问，rule-id自动为5，间隔默认为5，也可以在rule后面手动指定。

int g0/0/0

  traffic-filter outboud acl 2000  //在端口出方向上绑定ACL，阻止来自192.168.1.0/24网段的主机信息从该端口发出。

display acl all                    //查看ACL

display acl 2000                  

display traffic-filter applied-record    //查看ACL绑定记录



acl 2001

   rule 5 permit source 192.168.100.0 0.0.0.255   //允许192.168.100.0/24网段主机访问

   rule 10 deny source any                     //拒绝任意网段主机访问

user-interface vty 0 4

   acl 2001 inbound                 //在用户接口下，对登录绑定ACL，只允许 192.168.100.0/24网段的主机远程登录。   

 

三、高级ACL配置

高级ACL能够根据源/目的IP地址、源/目的端口号、网络层及传输层协议以及IP流量分类和TCP标记值等各种参数（SYN|ACK|FIN等）进行报文过滤。高级ACL尽量配置在靠近源的端口位置。

相关命令示例：

acl 3000        //设置编号，也可以使用命名，如acl name test advance

  rule deny tcp source 192.168.1.1 0 destination 172.16.10.1 0 destination-port eq ftp  //拒绝192.168.1.1主机访问172.16.10.1的ftp端口

int g0/0/1

   traffic-filter inbound acl 3000   

 

ACL应用-NAT

nat address-group 1 202.100.1.100 202.100.1.110   //创建NAT地址池

nat address-group 2 202.100.1.111 202.100.1.120

acl 2000                                            //创建ACL用于指定源地址

  rule 5 permit source 192.168.1.0 0.0.0.255

acl 2001

  rule 5 permit source 192.168.2.0 0.0.0.255

int g0/0/1

    nat outbound 2000 address-group 1        //在端口下，将地址池和ACL绑定实现NAT转换，这是默认的端口转换

    nat outbound 2001 address-group 2