一、ACL基本介绍
ACL:访问控制列表
※是由一系列permit和deny语句组成的(后面跟着条件列表)、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类;
※ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能(此功能侧面可以说明ACL可以提高网络的安全性),针对AC所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤),ACL只是一个匹配用的工具;
※ACL除了能够对报文进行匹配,还能够用于匹配路由;
※主要应用于流量过滤,实际上是一条一条规则的集合,是一种工具,可以应用在任何场合
1.ACL工作原理
当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
2.ACL种类
种类 | 数字标识 | 匹配项 |
基本ACL | 2000-2999 | 只能匹配IP地址 |
高级ACL | 3000-3999 | 可匹配源IP地址,目的IP地址,源端口,目的端口,第三、四层字段协议 |
二层ACL | 4000-4999 | 根据数据包源MAC地址,目的MAC地址,802.1q优先级,二层协议类型等二层信息制定规则 |
3.ACL应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方
4.ACL应用规则
a.一个接口的同一方向,只能调用一个ACL
b.一个ACL里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
c.数据包一旦被某个rule匹配,就不再继续向下匹配
d.用来做数据包访问控制时,默认隐含放通所有(华为设备)
二、实例演示
rule permit icmp source 192.168.1.4 0 #在acl中子网掩码采用反掩码,例:255.255.255.0
acl中为0.0.0.25
[Huawei]acl 3000 #创建高级acl3000
[Huawei-acl-adv-3000]rule permit icmp source 192.168.1.4 0 destination 192.168.3
.1 0
#允许192.168.1.4主机(client2)能够ping通192.168.3.1主机(web服务器)
[Huawei-acl-adv-3000]rule deny icmp source any destination 192.168.3.1 0
#不允许其他ping通
[Huawei-acl-adv-3000]rule permit tcp source 192.168.1.3 0 destination 192.168.3.
1 0 destination-port eq 80
#允许client1访问web服务器www服务
[Huawei-acl-adv-3000]rule deny tcp source any destination 192.168.3.1 0 destinat
ion-port eq 80
#不允许其他访问web服务器的www服务
[Huawei-acl-adv-3000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
#将acl3000应用到出接口
经过acl3000 client1能够访问web服务器的www服务,但不能ping通
client2不能访问,但能ping通
client1结果
client2结果