华为路由器ACL操作SSH接口

ACL的定义

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

ACL作用

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

应用设备—路由器

访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

ACL的工作原理

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

ACL的功能

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

ACL的方向

ACL是一组规则的集合，它应用在路由器的某个接口，对路由器接口而言，ACL有两个方向。

出：已经过路由器的处理，正离开路由器的数据包。
入：已到达路由器接口的数据包，将被路由器处理，
 

分类           编号范围         参数
基本ACL    2000~2999    源IP地址等
高级ACL    3000~3999    源IP地址，目的IP地址，源端口，目的端口，协议类型等
二层ACL    4000~4999    源MAC地址，目的MAC地址，以太帧协议类型等
用户ACL    6000~6031    源IP地址，目的IP地址，源端口，目的端口，协议类型等

示例操作

[R1]acl ?
  INTEGER<2000-2999>  Basic access-list(add to current using rules)
  INTEGER<3000-3999>  Advanced access-list(add to current using rules)
  INTEGER<4000-4999>  Specify a L2 acl group
  ipv6                ACL IPv6 
  name                Specify a named ACL
  number              Specify a numbered ACL
[R1]acl 2000
[R1-acl-basic-2000]?
acl-basic interface view commands:
  arp-ping     ARP-ping
  backup       Backup  information
  clear        Clear
  description  Specify ACL description
  dialer       Dialer
  display      Display information
  mtrace       Trace route to multicast source
  ping          ping command group
  quit         Exit from current mode and enter prior mode
  reset         reset command group
  return       Enter the privileged mode
  rule         Specify an ACL rule
  step         Specify step of ACL sub rule ID
  test-aaa     Accounts test
  tracert       tracert command group
  undo         Negate a command or set its defaults
[R1-acl-basic-2000]ru	
[R1-acl-basic-2000]rule ?
  INTEGER<0-4294967294>  ID of ACL rule
  deny                   Specify matched packet deny
  permit                 Specify matched packet permit
  
#不允许源地址为192.168.1.0整段通过
[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255   

#把上面这条应用到接口GigabitEthernet0/0/0
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter  inbound acl 2000  

通配符掩码：0 —表示匹配，1 —表示忽略，ACL 用于匹配流量默认隐含一条permit any， 用于匹配路由默认隐含一条deny any。