本文講述了華為HCIA認證學(xué)習(xí)筆記——ACL原理與配置方法。分享給大家供大家參考，具體如下： 

ACL（access control list）

定義：由一系列規(guī)則組成的集合。設(shè)備可以通過這些規(guī)則對數(shù)據(jù)包進行分類，并對不同類型的報文進行不同的處理。

分類：

         1、基本ACL，編號范圍2000~2999，通過源ip進行匹配；

         2、高級ACL，編號范圍3000~3999，可以使用報文的源/目的IP地址、源/目的端口號以及協(xié)議類型等信息來匹配報文；

         3、高級ACL，編號范圍4000~4999，可以使用源/目的MAC地址以及二層協(xié)議類型等二層信息來匹配報文；

ACL規(guī)則：由運行permit和拒絕deny這樣的邏輯構(gòu)成一條條規(guī)則，一個ACL可以有多條規(guī)則，多條規(guī)則的優(yōu)先級不同，一個接口的一個方向只能調(diào)用一個ACL；

匹配規(guī)則：

         1、配置順序，按ACL規(guī)則編號（rule-id）從小到大的順序迚行匹配，默認寫的第一條規(guī)則的編號為5，ARG3系列路由器默認規(guī)則編號的步長是5，故下一跳規(guī)則的編號為10；

         2、自勱排序，使用“深度優(yōu)先”的原則進行匹配，即根據(jù)規(guī)則的精確度排序；

案例解析：下圖的PC、路由表已配置好，PC相互都可以通信。

例子1：在R2配置基本ACL，使得PC1訪問不了172.16.10.0的網(wǎng)絡(luò)。

1. acl 2000：進入R2，進入一個編號2000的acl；
2. rule deny source 192.168.10.1 0：創(chuàng)建規(guī)則，拒接192.168.10.1這這個IP訪問，0是反掩碼，精確匹配，會自動生成序號5；
3. display this：查看配置；

    

4. undo rule 5：刪除序號為5的規(guī)則；
5. int gi 0/0/0；進入指定端口；
6. traffic-filter inbound acl 2000：在接口的入方向調(diào)用acl，出方向是outbound；
7. undo traffic-filter inbound：最后測試完成后，將接口的acl配置取消；

例子2：在R2上配置高級ACL，拒絕PC1、PC2ping通PC4，但是允許其http訪問PC4.

1. acl 3000：進入編碼3000的高級acl；
2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0：自定規(guī)則，拒絕ip網(wǎng)絡(luò)位為192.168.10的ICMP協(xié)議的數(shù)據(jù)到172.16.10.0主機上；
3. int gi 0/0/1；
4. traffic-filter outbound acl 3000：在接口的出方向調(diào)用acl3000；

下面使用http請求，可以看到返回狀態(tài)碼是200，表示訪問成功。

例子3：拒接PC1telnet訪問PC4.

1. acl 3000；
2. rule deny tcp source 192.168.10.1 0 destination 172.16.10.2 0 destination-port eq telnet ：拒絕192.168.10.1的telnet訪問172.16.10.2主機；

最新評論