AC概述及简单使用

技术背景：需要一个工具，实现流量过滤
ACL概述：
ACL是由一系列permit（允许）或deny（拒绝）语句组成的、有序规则的列表。ACL是一个匹配工具，能够对报文进行匹配和区分

五元组

IP Header	TCP/UDP Header	Data
源IP地址、目的IP地址、协议地址	源端口、目的端口

ACL应用

• 匹配IP流量
• 在Traffic-filter中被调用
• 在NAT ( Network Address Translation )中被调用
• 在路由策略中被调用
• 在防火墙的策略部署中被调用
• 在Qos中被调用
• 其他…

ACL的组成
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

命令关键字	规则编号（步长）	动作	匹配项（如：源IP）
rule	5	permit	source 1.1.1.0 0.0.0.255
以上为用户自定义的规则
rule 2352342524 deny：系统在ACL末尾隐含的规则

正掩码：需要前面连续的1
0.0.0.255 通配符掩码不需要连续
通配符(Wildcard)
通配符是一个32比特长度的数值，用于指示IP地址中哪些比特位需要严格匹配，哪些比特位无需匹配。
通配符通常采用类似网络掩码的点分十进制形式表示但是含义却与网络掩码完全不同。

规则编号与步长
规则编号( Rule ID ) :
一个ACL中的每一条规则都有一个相应的编号
步长(step):
步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。
Rule ID分配规则：
系统为ACL中首条未手工指定编号的规则分配编号时使用步长值(例如步长=5，首条规则编号为5)为这规则的起始编号;为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

ACL的分类与标识
基于ACL规则定义方式的分类

分类编号	范围规则	定义描述
基本ACL	2000~2999	仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。
高级ACL	3000~3999	可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源/目的端口号、生效时间段等来定义规则。
二层ACL	4000~4999	使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。
用户自定义	ACL5000~5999	使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。
用户ACL	6000~6999	既可使用IPv4报文的源IP地址或源UCL( User ontrolList)组，也可使用目的IP地址或目的UCL组IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

基于ACL标识方法的分类

分类	规则定义描述
数字型ACL	传统的ACL标识方法。创建ACL时，指定一个唯一的数字标识该ACL
命名型ACL	通过名称代替编号来标识ACL

esnp实验
配置ACL

基本acl
acl 2000
高级acl
acl 3000
二层acl
acl 4000
创建名字forme 的基本acl
acl name forme basic

基本ACL的基础配置命令
1、创建基本ACL
[Huaweil aclI number]ac/-number(match-order config
使用编号(2000~2999)创建一个数字型的基本ACL，并进入基本ACL视图。
[Huawei] acl name acl-name ( basic ac-number }[ match-order config
使用名称创建一个命名型的基本ACL，并进入基本ACL视图。
2、配置基本ACL的规则
Huawei-ac-basic-2000 rule rule-d1 deny permit ) source ( source-address source-wildcard any ) time-range timenamel
在基本ACL视图下，通过此命令来配置基本ACL的规则。

rule deny source 192.168.1.0 0.0.0.255
rule permit source any
interface GigabitEthernet 0/0/0
traffic-filter inbound acl 2000  ()

高级ACL的基础配置命令
1、创建高级ACL
[Huawei] acl [ number ] ac-number [ match-order config ]
使用编号(3000~3999)创建一个数字型的高级ACL，并进入高级ACL视图
[Huawei] acI name ac-name ( advance ac-number )[ match-order config]使用名称创建一个命名型的高级ACL，进入高级ACL视图。
2、配置基本ACL的规则
根据IP承载的协议类型不同，在设备上配置不同的高级ACL规则。对于不同的协议类型，有不同的参数组合。当参数protocol为IP时，高级ACL的命令格式为
rule [rule-id]Ideny permit ip destination ( destination-address destination-wildcard any ) source source-address source-wildcardany )| time-range time-name [ dscp dscp[ os tos precedence precedence ]]]
在高级ACL视图下，通过此命令来配置高级ACL的规则。

• 当参数protocol为TCP时，高级ACL的命令格式为
  rule [rule-id]{deny | permit }{protoco-number tcp }[ detination ( destination-address destination-wildcard |any ) destination-port(eq port gt port lt port range por-start port-end ) source(source-address source-ildcard any ) source-port (eq port gt port ’ ltport| range port-start port-end )| tcp-flag ( ack fin syn )* time-range time-name ]**
  在高级ACL视图下，通过此命令来配置高级ACL的规则
  说实话这么长我看不进，恶心了

高级acl简单实验esnp

acl 3001
rule deny ip source 10.1.1.0 destination 10.1.2.0 0.0.0.255
acl 3002
rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
interface GigabitEthernet 0/0/1
traffic-filter inbound acl 3001
interface GigabltEthernet 0/0/2
traffic-filter inbound acl 3002