acl

访问控制列表在企业当中特别常用，本文我们就来了解下华为访问控制列表ACL基本使用，入下图所示： 路由器R1基本配置如下： [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [R1]interface g0/0/2 [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24 [R1]interface g0/0/0 [R1-GigabitEthernet0/0/1]ip address 192.168.10.254 24 接下来我们配置华为基本的ACL，如下： [R1]acl 2000 [R1-acl-basic-2000]rule 5 deny source 192.168.1.1 0 //拒绝192.1681.1主机流量 [R1-acl-basic-2000]rule 10 permit source any //允许其他主机流量 在应用acl之前PC1主机与服务器网络是互通的： 在R1的g0/0/1接口调用acl2000： [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 再来测试，PC1与server网络不通

一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP ® software, Version 5.130 (S5700 V200R003C00SPC300) Copyright © 2000-2013 HUAWEI TECH CO., LTD Quidway S5700-52C-SI 三、配置 1、需求 1）只允许特定的网段（192.168.1.0/24)到特定的网段192.168.2.0/24)的访问 2）禁止特定的网段（192.168.1.0/24) 到any的访问。 2、配置：

实验需求： 0、做之前确保全网互通 1、-交换机用路由器代替，WG主机用路由器模拟 2、-AR1只能允许WG登陆 3、-YF和CW之间不能互通，但可以和WG互通 4、-WG和YF可以访问Client1 5、-CW不能访问Client1 6、-YF和WG只能访问Server1的WWW服务 7、-只有WG才能访问Server1的所有服务 实验拓扑： 实验配置： --------------------------------------------------------------------------------- [WG]int g0/0/0 [WG-GigabitEthernet0/0/0]ip add 192.168.10.1 24 [WG-GigabitEthernet0/0/0]un shutdown [WG]rip [WG-rip-1]version 2 [WG-rip-1]network 192.168.10.0 ---------------------------- [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 192.168.10.2 24 [AR2-GigabitEthernet0/0/1]un shutdown [AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip

ACL简介 ACL即 Access Control List=访问控制列表，用于对网络流量进行流量控制，ACL是一种包过滤技术。 ACL基于三层的源IP、目标IP，基于四层的端口号对数据包进行过滤！ ACL原理： 1）ACL表必须应用到接口上才能生效！ 2）ACL表应用到接口的一个方向上！（in/out方向二选一） 3）一个接口的一个方向只能应用一张ACL表。 4）ACL表是严格自上而下匹配每一条，匹配条件成功，则执行动作，并不在往下匹配其他条目！ 5）标准ACL尽量写在靠近目标的地方 6）在每个ACL表的最后，都隐藏了一条拒绝所有的条目！ 7）默认情况下，标准ACL和扩展ACL一旦编写完成后，不能修改某一条、不能往中间插入、不能删除某一条，只能往最后一直追加！只能删除整张ACL，重新编写！ ACL的类型 1） 标准ACL （standard） 表号：1-99 功能：只能基于源IP对包进行过滤！ 命令： conf t access-list 表号 deny/permit 源IP 反子网掩码 反子网掩码：0.255.255.255（0代表严格进行匹配，255不需要进行匹配） access-list 1 deny 10.1.1.0 0.0.0.255（与10.1.1.这个网段进行匹配） access-list 1 deny 20.1.1.1 0.0.0.0 （与20.1.1

ACL是管理网络流量的工具 作用： 1.过滤掉某些数据包 2.允许或拒绝某些telnet数据包 ACL的分类： 1.标准访问控制列表 2.扩展的访问控制列表 3.命名的访问控制列表 标准访问控制列表的特点： 1.1-99 1300-1699的列表号 2.只能匹配数据包的源地址 扩展的访问控制列表 1.100-199 2000-2699的列表号 2.可以匹配数据包的源地址，目的地址。还可以匹配ip包头的的协议号，以及传输层端口号。 标准访问控制列表与扩展的访问控制列表使用区别。 如图，在一接口处配置标准访问控制列表使PC1只能访问PC2而过滤发往PC3的路由。则在接口一处配置deny掉来自10.2.2.1（源地址）的路由，那么接口一将会将所有来自10.2.2.1的路由全部过滤。因此，PC1也无法访问PC2. 因此应该在接口2处配置扩展的访问控制列表，过滤掉来自10.2.2.1（源地址）去往10.1.1.3（目的地址）的流量。由此可见这两种访问控制列表的区别。 注：1.标准访问控制列表最好配置在靠进目标网段的出接口出，如果配在R2处，可能会导致来自10.2.2.1网段的流量无法访问R2背后的网段。 2.扩展的访问控制列表最好配置在靠近源地址的地方（也就是图中的2接口处）因为这样可以减轻链路的负担，不用路由后在过滤，白白浪费一段链路带宽。 配置规则：1.配置多个语句

常见的ACL分标准访问控制列表、扩展访问控制列表和命名访问控制列表，不同的场合应用不同的访问控制列表。 1、 标准访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 2、 扩展访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。 3、 命名访问控制列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。 ACL的应用很广泛，可以实现如下功能： 1、 允许或者拒绝信息流入（或者流出）的数据流通过特定的接口； 2、 为DDR应用定义感兴趣的数据流； 3、 过滤路由更新的内容； 4、 控制对虚拟终端的访问； 5、 提供流量控制； 实验拓扑图 实验一：标准访问控制列表 搭建实验环境 本实验目的是：拒绝PC2所在网段访问路由器R2，同时允许主机PC3访问路由器R2，整个网络配置EIGRP保证IP的连通性。 这里以R2路由器为例： R2(config)# router eigrp 1 R2(config-router)#no auto

访问控制列表 （Access Control List，ACL） 是 路由器 和 交换机 接口的指令列表，用来 控制端口 进出的数据包。ACL适用于所有的 被路由协议 ，如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过 安全策略 来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。 3P原则 记住 3P 原则，您便记住了在 路由器 上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL： 每种协议一个 ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。 每个方向一个

访问控制列表 什么是访问控制列表 访问控制列表（ACL） 应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝 ACL的工作原理 读取第三层及第四层包头中的信息 根据预先定义好的规则对包进行过滤 访问控制列表的作用 提供网络访问的基本安全手段 可用于QoS，控制数据流量 控制通信量 使用ACL阻止某指定网络访问另一指定网络 标准访问控制列表的配置 第一步，使用access-list命令创建访问控制列表 Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log] 第二步，使用ip access-group命令把访问控制列表应用到某接口 Router(config-if)#ip access-group access-list-number { in | out } 注意deny网络需要网络号和反掩码，对于特定主机需要加host 扩展访问控制列表 基于源和目的地址、传输层协议和应用端口号进行过滤 每个条件都必须匹配，才会施加允许或拒绝条件 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 扩展访问控制列表的配置 第一步，使用access-list命令创建扩展访问控制列表 Router(config)

之前我们学习的静态路由和动态路由部分，都是网络中最基础的部分，需要我们熟练掌握，并能应用到实际中！今天我们来学习一个抓取流量的工具--ACL（访问控制列表）！ ACL（访问控制列表-- Access Control List ）是一种路由器配置和控制网络访问的一种有力的工具。 适用于所有的路由协议。 一、作用 1、控制路由器应该允许或拒绝数据包通过 2、监控流量 3、检查网络的安全性（ 自上向下 ），检查和过滤数据和限制不必要的路由更新，让网络资源节约成本 注：路由表属于控制层面，ACL属于数据层面 二、两个动作、ACL分类以及匹配规则 1、动作 deny 拒绝 permit 允许 2、ACL分类 标准ACL 1-99 仅仅匹配源ip地址，尽量靠近目标 扩展ACL 100-199 关注源ip、目标ip、协议号或端口号，尽量靠近源，ACL不能拒绝自身产生的流量 3、匹配规则 --- 从上往下依次匹配一旦匹配不再往下查询，末尾隐藏拒绝所有 三、ACL写法 （编号写法和命名写法） 1、标准ACL ①编号写法 R3(config)#access-list 1 deny 192.168.1.2 0.0.0.0 拒绝192.168.1.2的流量 R3(config)#access-list 1 permit any 允许其它流量通过 切记：拒绝某个地址的流量一定写在前面，然后permit

访问控制列表ACL 为什么需要ACL，无非是进行访问控制罢了。这种技术从路由器逐步推广到交换机上进行使用。 ACL对入站或出站的通信进行过滤。ACL的局限性是不能对路由器本身发出的通信进行过滤，因此在路由器上执行ping或trace、route命令，或者通过路由器远程连接(telnet)另外一个网络设备，应用于路由器端口的ACL命令不能过滤这些通信。 ACL基本原则: - 先匹配原则 - 排序原则 - 默认丢弃原则 我们知道ACL分为标准ACL和扩展ACL。 标准ACL 标准编号范围:1~99,1300~1999。 命令格式 Router(config) #access -list 编号 permit | deny 单个IP | {网络地址 反掩码} 激活ACL命令(进入端口应用ACL) in表示进入端口的分组(入站)，out表示端口输出的分组(出站)。 我们可以这样理解，在针对配置的设备来说，该端口经过该设备传送即为入站，反之端口远离该设备即为出站。 Router(config)#interface 端口号 Router(config- if )#ip access - group acl编号 in | out 通配符掩码的例子 IP地址 通配符掩码 匹配 0.0.0.0 255.255.255.255 匹配任何地址(关键字any) 172.16.1.1 0.0.0.0