【零基础入门】ACL访问控制列表

访问控制列表(,ACL)是一种由一条或多条指令的集合,指令里面
可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据
接收,哪些数据需要拒绝接收 。它类似于一种数据包过滤器 。从而可以实现对网络访问行为
的控制、限制网络流量、提高网络性能、防止网络攻击等等 。
如图:可以通过配置ACL来实现限制主机A、主机B访问互联网,限制主机C、主机D访问
服务器 。
ACL结构
ACL是由一系列(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是
无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策
略部署中被调用、在路由策略中被调用和用来通过流量过滤 。
ACL组成如上图所示:
(1)访问控制列表编号:在配置ACL时,每个ACL都会分配一个编号,不同编
号代表不同的ACL;
(2)规则:一个ACL通常由一条或多条“/deny”语句组成,一条语句
就是一条规则;
(3)规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用
户指定;
(4)动作:代表允许,deny代表拒绝,用来给规则设定相应动作;
(5)匹配项:可以是源MAC地址、目的MAC,目的地址、协议类型等 。
如:.1.1.00.0.0.255
代表:规则10允许源地址为1.1.1.0/24网段地址的报文通过 。
ACL分类
1、基本ACL(2000-2999):用报文的源IP地址、分片时间和生效时间段来定义规
则 。
2、高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字
段 。
3、二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二
层协议类型等二层信息制定规则 。
4、用户自定义ACL(5000-5999):使用报文头、偏移位置、字符串掩码、用户自定义字
符串来定义规则 。
5、用户ACL(6000-6999):可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端
口来定义规则;
ACL实验配置
实验拓扑:
一、使用基本ACL进行数据过滤
实验目的:
1、部署基本ACL实现数据过滤
2、实现PC1无法访问PC3
拓扑如图所示:
(1)在AR1上配置如下:
sys
[]
[AR1]intg0/0/0
[AR1-/0/0].168.1.25424//配置端口IP
[AR1-/0/0]intg0/0/1
[AR1-/0/1].168.3.124
[AR1]rip//使用动态路由协议RIP
[AR1-rip-1]//RIP版本为RIPv2
[AR1-rip-1].168.1.0//宣告192.168.1.0网段
[AR1-rip-1].168.3.0//宣告192.168.3.0网段
(2)在AR2上配置如下:
sys
[]
[]
[AR2]intg0/0/1
[AR2-/0/1].168.3.224
[AR2-/0/1]intg0/0/2
[AR2-/0/2].168.4.224

【零基础入门】ACL访问控制列表

文章插图
[AR2-/0/1]intg0/0/0
[AR2-/0/0].168.2.25424
[AR2]rip
[AR2-rip-1]
[AR2-rip-1].168.2.0
[AR2-rip-1].168.3.0
[AR2-rip-1].168.4.0
(3)在AR3上配置如下:
[]intg0/0/0
[-/0/0].168.4.324
[-/0/0]intg0/0/1
[-/0/1].168.5.25424
[]rip
[-rip-1]
[-rip-1].168.4.0
[-rip-1].168.5.0
(4)在各PC上配置相关IP地址和网关
(5)测试PC1与PC3的连通性
(6)在AR3上配置ACL
[]//创建基本ACL,编号为2001
[-acl-basic-2000].168.1.10
//规则(默认为5)拒绝192.168.1.1IP地址访问
[-acl-basic-2000]intg0/0/1
[-/0/1]-0
//在端口g0/0/1上应用,设置在方向
(7)配置ACL后,测试PC1与PC3的连通性
在此我整理了一份资料,算是给能看到这里的朋友一个福利,包括常见网络故障排查方法文档,常见路由器交换机配置视频以及网工资料包 。