ACL 访问控制 过滤数据 维护网络安全（第七课)

一 ACL 简介

ACL是Access Control List（访问控制列表）的缩写，是一种用于控制文件、目录、网络设备等资源访问权限的方法。ACL可以对每个用户或用户组设置不同的访问权，即在访问控制清单中为每个用户或用户组指定允许或禁止访问该资源的权限。它通常由一系列规则组成，规则定义了一个或更多特定用户或用户组可以执行的操作。ACL使得管理员可以更好地控制对资源的访问，并且可以使用户具有更灵活的访问方式。

二 ACL 的作用

访问控制列表 设置权限管理 限制访问权限

三 ACL 的分类

• ACL编号： 2000~2999 条件：源IP地址  基本ACL：过滤三层数据报文

• 高级ACL：可以过滤三层数据报文也可以过滤四层数据报文

• ACL编号： **3000~3999**   条件：**五元组**（源IP/目标IP/协议号/源端口/目标端口）

  二层ACL ： 

   ACL编号： 4000~4999 用于匹配源MAC地址、目的MAC地址、802.1q优先级等

四 ACL 组成

五 通配符

1. 使用源/目的IP地址定义为规则的匹配项时，需要在IP地址后面指定通配。确定一个地址范围
2. IP地址通配符掩码与IP地址的反掩码类似，也是一个32比特位的数字字符串
3. IP地址通配符掩码的作用是，定义IP地址中的哪些位将被检查
4. IP地址通配符掩码也是有0和1组成的，“0”表示“检查相应的位”，“1”表示“不检查相应的位，总结：“检查0，忽略1”

六 ACL 基础配置

[R1]acl 2000    //创建基本ACL
[R1-acl-basic-2000]rule 10 deny source 192.168.1.0  0.0.0.255  //配置基本ACL规则
[R1-acl-basic-2000]quit
[R1]int g0/0/0
[R1-G0/0/0]traffic-filter outbound acl 2000    //在接口上调用ACL对数据报文进行过滤

第三步：测试与验证
PC1 ping  Server1  不通
PC2 ping  Server1  通
PC1 ping  PC2      通

[R1]display acl  all   //查看acl
[R1]display traffic-filter applied-record   //查看acl调用信息

====================================================================
备注1：命令解析
acl 2000   
   rule 10 deny source 192.168.1.0  0.0.0.255
 
字段解析：
acl 2000 ：表示的ACL的名字，代表是基本ACL
rule 10 ：表示的是规则10  （10代表规则的编号）
deny : 表示的是动作，deny代表拒绝
source : 表示的源，在当前规则中代表的是源IP地址
192.168.1.0  ：在当前规则中代表的是源IP地址段
0.0.0.255 ：表示的通配符，在当前规则中代表，检查的字段是192.168.1 （前三个字段）

备注2：命令解析
int g0/0/0
traffic-filter outbound acl 2000

字段解析：
traffic-filter :表示的是流量过滤
outbound ：表示的是出方向上过滤数据报文

七 基本的ACL操作

display  current-configuration 
[V200R003C00]
#
 sysname R4
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 set cpu-usage threshold 80 restore 75
#
acl number 2000  
 rule 5 deny source 192.168.4.0 0.0.0.255 
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.5.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 192.168.6.254 255.255.255.0 
 traffic-filter outbound acl 2000
#
interface GigabitEthernet0/0/2
 ip address 192.168.4.254 255.255.255.0 
#
interface NULL0
#
ip route-static 192.168.10.0 255.255.255.0 192.168.5.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return