ACL-访问控制列表

大家好，又见面了，我是你们的朋友全栈君。

目录

一.概述

二.访问控制列表的调用的方向

三.策略做好后，在入接口调用和出接口调用的区别

四.访问控制列表的处理原则

五.访问控制表类型

总结

一.概述

作用：读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选、过滤

三层头部信息：源、目的IP

四层头部信息：TCP/UDP协议、源、目的端口号

二.访问控制列表的调用的方向：

入：流量将要进入本地路由器，将被本地路由器处理

出：流量已经被本地路由器处理，将离开本地路由器

三.策略做好后，在入接口调用和出接口调用的区别

入接口调用：是对本地路由器生效

出接口调用：对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效

四.访问控制列表的处理原则：

1路由条目只会被匹配一次

2.路由条目在ACL访问控制列表中匹配的顺序是由上而下匹配

3.ACL访问控制列表隐含一个放行所有

4.ALC访问控制列表至少要放行一条路由条目

 五.访问控制表类型

1.标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表号2000-2999

调用原则：靠近目标

2扩展访问控制列表

可以根据源、目标IP，TCP/UDP协议，源、目标端口号进行过滤

相比较标准访问控制列表，流量控制的更加精准

扩展访问控制列表的列表号是3000-3999

调用原则：靠近源

 A交换机

<Huawei>u t m
<Huawei>sys
[Huawei]sy A
[A]user-interface console 0
[A-ui-console0]idle-timeout 0 0
[A-ui-console0]q
[A]vlan b 10 20
[A]int e0/0/1
[A-Ethernet0/0/1]port link-type access 
[A-Ethernet0/0/1]port default vlan 10
[A-Ethernet0/0/1]int e0/0/2
[A-Ethernet0/0/2]port link-type access
[A-Ethernet0/0/2]port default vlan 20
[A-Ethernet0/0/2]int e0/0/3
[A-Ethernet0/0/3]port link-type access
[A-Ethernet0/0/3]port default vlan 10
[A-Ethernet0/0/3]int e0/0/4
[A-Ethernet0/0/4]port link-type access
[A-Ethernet0/0/4]port default vlan 20
[A-Ethernet0/0/4]int g0/0/1
[A-GigabitEthernet0/0/1]port link-type trunk 
[A-GigabitEthernet0/0/1]port trunk allow-pass vlan all

B路由器

<Huawei>u t m
<Huawei>sys
[Huawei]sy B
[B]user-interface console 0
[B-ui-console0]idle-timeout 0 0
[B-ui-console0]q
[B]int g0/0/0
[B-GigabitEthernet0/0/0]undo shutdown 
[B-GigabitEthernet0/0/0]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]dot1q termination vid 10   封装方式为802.1q g0/0/0.1划分进vlan10
[B-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24      设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.1]arp broadcast enable        开启ARP广播功能
[B-GigabitEthernet0/0/0.1]int g0/0/0.2
[B-GigabitEthernet0/0/0.2]dot1q termination vid 20  封装方式为802.1q g0/0/0.1划分进vlan20
[B-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24        设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.2]arp broadcast enable        开启ARP广播功能
[B-GigabitEthernet0/0/0.2]q

设置完后。vlan10和vlan20可以通的

 标准访问列表设置

[B]acl 2000                                           创建标准访问控制列表，列表号2000
[B-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255   拒绝192.168.10.0网段（子网掩码为反掩码,原掩码是255.255.255.0）
[B-acl-basic-2000]rule permit source any                    放行其他路由条目
[B-acl-basic-2000]q
[B]int g0/0/0.2	                                            
[B-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000       选择在g0/0/0.2出接口上调用列表2000

入接口为inbound

默认ACL每条语句的行号间隔5

vlan10和vlan20之间已经不通了

 扩展访问控制列表

第一台路由器增加默认路由命令

[B]int g0/0/3
[B-GigabitEthernet0/0/0]ip add 12.1.1.1 24
[B-GigabitEthernet0/0/0]undo shutdown 
[B]ip route-static 0.0.0.0 0 12.1.1.2

第二台路由器

<Huawei>u t m
<Huawei>sys
[Huawei]sys C1
[C1]user-interface console 0
[C1-ui-console0]id 0 0
[C1-ui-console0]q
[C1]int g0/0/0
[C1-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[C1-GigabitEthernet0/0/0]undo shutdown 
[C1-GigabitEthernet0/0/0]int g0/0/1
[C1-GigabitEthernet0/0/1]ip add 202.10.100.2 24
[C1-GigabitEthernet0/0/1]undo shutdown
[C1-GigabitEthernet0/0/1]q	
[C1]ip route-static 0.0.0.0 0 12.1.1.1

服务器配置

 点击启动，在1号终端上ping服务器地址，然后填入服务器地址，点击登录，即可看到服务器上的目录，这里可以上传或者下载文件

 这时在第一台路由器中输入

[B]acl 3000
[B-acl-adv-3000]rule deny tcp source 192.168.10.3 0.0.0.0 destination 202.10.10
0.10 0 destination-port eq 21     禁止PC1访问FTP服务
[B-acl-adv-3000]rule permit tcp source any destination any destination-port eq 
21                                放行其他客户机访问FTP服务
[B-acl-adv-3000]rule permit ip source any destination any   放行其他客户机的网络流量
[B]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000    选择在入接口上调用列表3000

这时再去客户机1上连接服务器，就无法登录了

 而其他机器登录正常

总结

了解acl访问控制列表

访问控制列表处理原则

访问控制表类型的两种类型