什么是ACL？有哪些分类？如何配置？

一、ACL的概述

ACL：访问控制列表

※是由一系列permit和deny语句组成的（后面跟着条件列表）、有序规则的列表，它通过匹配报文的相关信息实现对报文的分类；
※ACL本身只能够用于报文的匹配和区分，而无法实现对报文的过滤功能（此功能侧面可以说明ACL可以提高网络的安全性），针对AC所匹配的报文的过滤功能，需要特定的机制来实现（例如在交换机的接口上使用traffic-filter命令调令ACL来进行报文过滤），ACL只是一个匹配用的工具；
※ACL除了能够对报文进行匹配，还能够用于匹配路由；
※主要应用于流量过滤，实际上是一条一条规则的集合，是一种工具，可以应用在任何场合

二、ACL是什么

ACL能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；ACL还能够用于匹配路由条目。说了这么多，那么ACL到底是什么呢？下面就让我们从ACL的配置深入了解它吧。

1、ACL的标识种类

①：利用数字标识
②：利用名称标识

具体分为以下四类



2、ACL的匹配顺序



Rule:代表第一条，第二条
5:步长
permit：允许
deny：拒绝

这里需要提一点的是，为什么一般rule 5步长写5，而不是从1/2/3开始，这个没有固定的数字，以上图举例，如果说步长写5，临时想在中间插入一个不允许访问192.168.1.4，就可以在中间插入，如果是rule1/2/3，就没办法中间插入。

3、ACL的配置

创建ACL:

aclnum编号范围是2000~2999

创建一个规则

rule5（permit/deny）sourcesrc-addresswildcard
source：源；wildcare：通配符

查看acl信息

displayaclnum

激活需进出口接口：

traffic-filteroutbound/inboundaclnum
outbound：出的流量接口；inbound：进的流量接口

允许/不允许所有通过

rulepermit/denysourceany

4、wildcare：通配符

这里要说明一个wildcare（通配符）的概念：

通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特为需要严格匹配，哪些比特位则无所谓

通配符通常采用类似网络掩码的点分十进制形式表示，但是汉语却与网络掩码完全不同


如上图，0：表示需匹配；1：表示无所谓

再举个通俗易懂的例子：



有两个特殊的通配符

192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any

三、实验加深理解

1、实验要求：允许PC2通过数据


只有pc2可以访问
先配置网关

[Huawei]intg0/0/0
[Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424
[Huawei-GigabitEthernet0/0/0]intg0/0/1
[Huawei-GigabitEthernet0/0/1]ipadd192.168.2.25424
[Huawei-GigabitEthernet0/0/1]intg0/0/2
[Huawei-GigabitEthernet0/0/2]ipadd10.0.0.25424

先创建列表

[Huawei]acl2000

定义规则

ruledenysource192.168.1.00.0.0.255**阻挡1.0网段的所有访问**

查看acl 2000信息

[Huawei-acl-basic-2000]disacl2000

这时候是可以ping通的，配置了接口但是还没有激活所以可以ping通



然后激活接口

[Huawei]intg0/0/2先进要激活的接口

对于接口而言，有出的流量接口（outbound），也有进的流量接口（inbound）

[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl2000

然后查看下信息



这时候pc1就无法ping通了



pc2可以ping通




1.2实验一的基础上发生更改，改为：仅允许1.0可以通过。

先断掉之前配置的rule 5



创建acl

[Huawei]acl2000

允许192.168.1.0网段

[Huawei-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255

阻断所有网段

[Huawei-acl-basic-2000]ruledenysourceany

ping发现pc1可以ping通，pc2不可以



1.3、在实验一的基础上，更改实验要求：若允许1.1可以ping通pc3，但是2.1不能ping通pc3。

在g0/0/2出接口配置outbound

创建acl

[Huawei]acl3000**有源有目标地址，acl等级要3000**

允许源地址192.168.1.0访问目的地址10.0.0.1网段

[Huawei-acl-adv-3000]rulepermitipsource192.168.1.10destination10.0.0.10

不允许源地址192.168.2.0访问目的地址10.0.0.1网段

[Huawei-acl-adv-3000]ruledenyipsource192.168.2.10destination10.0.0.10

查看一下




然后激活acl 3000之前需要先询关闭掉acl2000的

[Huawei-GigabitEthernet0/0/2]undotraffic-filteroutbound

进入接口g0/0/2 ，激活acl 3000

[R1-acl-adv-3000]intg0/0/2
[Huawei-GigabitEthernet0/0/2]traffic-filteroutboundacl3000

达成结果，1.1可以ping通，1.2无法ping通



实验二、





①、首先实现全网互通

sw1
[Huawei]sysSW1
[SW1]vlanbatch1020
[SW1]inte0/0/1
[SW1-Ethernet0/0/1]pla
[SW1-Ethernet0/0/1]pdv10
[SW1-Ethernet0/0/1]inte0/0/2
[SW1-Ethernet0/0/2]pla
[SW1-Ethernet0/0/2]pdv20
[SW1-Ethernet0/0/2]inte0/0/3
[SW1-Ethernet0/0/3]pla
[SW1-Ethernet0/0/3]pdv10
[SW1-Ethernet0/0/3]inte0/0/4
[SW1-Ethernet0/0/4]pla
[SW1-Ethernet0/0/4]pdv20
[SW1-Ethernet0/0/4]inte0/0/5
[SW1-Ethernet0/0/5]plt
[SW1-Ethernet0/0/5]ptava
R1
[Huawei]sysR1
[R1]intg0/0/0.1
[R1-GigabitEthernet0/0/0.1]ipadd192.168.1.25424
[R1-GigabitEthernet0/0/0.1]dtv10
[R1-GigabitEthernet0/0/0.1]abe
[R1-GigabitEthernet0/0/0.1]intg0/0/0.2
[R1-GigabitEthernet0/0/0.2]ipadd192.168.2.25424
[R1-GigabitEthernet0/0/0.2]dtv20
[R1-GigabitEthernet0/0/0.2]abe
[R1]intg0/0/1
[R1-GigabitEthernet0/0/1]ipadd12.1.1.124
[R1]iproute-static0.0.0.00.0.0.012.1.1.2
R2
[R2]intg0/0/0
[R2-GigabitEthernet0/0/0]ipadd12.1.1.224
[R2-GigabitEthernet0/0/0]intg0/0/1
[R2-GigabitEthernet0/0/1]ipadd100.1.1.25424
[R2]iproute-static192.168.1.02412.1.1.1
[R2]iproute-static192.168.2.02412.1.1.1

全网ping通，实现全网互通



②、配置ACL使得vlan10和vlan20不通

阻止vlan10和vlan20，需要阻止192.168.10.0的方向

rulepermitsourceany：允许所有通过
[R1]acl2000
[R1-acl-basic-2000]rulepermitsourceany
[R1-GigabitEthernet0/0/0.2]traffic-filteroutboundacl2000

结果如下图，已实现



③、配置ACL使R1不能访问webserver

[R1]acl3000
[R1-acl-adv-3000]ruledenytcpsource192.168.1.00.0.0.255destination10.1.1.2
0destination-porteq80

display acl 3000 查看一下配置是否正确

审核编辑：刘清