访问控制列表(AccessControlLists,ACL)是一种由一条或多条指令的集合,指令里面 可以是报文的源地址、目标地址、协议类型、端口号等,根据这些指令设备来判断哪些数据 接收,哪些数据需要拒绝接收。它类似于一种数据包过滤器。从而可以实现对网络访问行为 的控制、限制网络流量、提高网络性能、防止网络攻击等等。 如图:可以通过配置ACL来实现限制主机A、主机B访问互联网,限制主机C、主机D访问 服务器。 ACL结构 ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是 无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策 略部署中被调用、在路由策略中被调用和用来通过流量过滤。 ACL组成如上图所示: (1)访问控制列表编号:在配置ACL时,每个ACL都会分配一个编号,不同编 号代表不同的ACL; (2)规则:一个ACL通常由一条或多条"permit/deny"语句组成,一条语句 就是一条规则; (3)规则编号:每条规则都有一个相应的编号,用来标识ACL规则,可以由用 户指定; (4)动作:permit代表允许,deny代表拒绝,用来给规则设定相应动作; (5)匹配项:可以是源MAC地址、目的MAC,目的地址、协议类型等。 如:rule10permitsource1.1.1.00.0.0.255 代表:规则10允许源地址为1.1.1.0/24网段地址的报文通过。 ACL分类 基本ACL(2000-2999):用报文的源IP地址、分片时间和生效时间段来定义规 则。 高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字 段。 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二 层协议类型等二层信息制定规则。 用户自定义ACL(5000-5999):使用报文头、偏移位置、字符串掩码、用户自定义字 符串来定义规则。 用户ACL(6000-6999):可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端 口来定义规则; ACL实验配置 实验拓扑: 一、使用基本ACL进行数据过滤 实验目的: 部署基本ACL实现数据过滤 实现PC1无法访问PC3 拓扑如图所示: (1)在AR1上配置如下: sys [Huawei]sysnameAR1 [AR1]intg0/0/0 [AR1-GigabitEthernet0/0/0]ipadd192.168.1.25424//配置端口IP [AR1-GigabitEthernet0/0/0]intg0/0/1 [AR1-GigabitEthernet0/0/1]ipadd192.168.3.124 [AR1]rip//使用动态路由协议RIP [AR1-rip-1]version2//RIP版本为RIPv2 [AR1-rip-1]network192.168.1.0//宣告192.168.1.0网段 [AR1-rip-1]network192.168.3.0//宣告192.168.3.0网段 (2)在AR2上配置如下: sys [Huawei]uninen [Huawei]sysnameAR2 [AR2]intg0/0/1 [AR2-GigabitEthernet0/0/1]ipadd192.168.3.224 [AR2-GigabitEthernet0/0/1]intg0/0/2 [AR2-GigabitEthernet0/0/2]ipadd192.168.4.224 [AR2-GigabitEthernet0/0/1]intg0/0/0 [AR2-GigabitEthernet0/0/0]ipadd192.168.2.25424 [AR2]rip [AR2-rip-1]version2 [AR2-rip-1]net192.168.2.0 [AR2-rip-1]net192.168.3.0 [AR2-rip-1]net192.168.4.0 (3)在AR3上配置如下: [Huawei]intg0/0/0 [Huawei-GigabitEthernet0/0/0]ipadd192.168.4.324 [Huawei-GigabitEthernet0/0/0]intg0/0/1 [Huawei-GigabitEthernet0/0/1]ipadd192.168.5.25424 [Huawei]rip [Huawei-rip-1]version2 [Huawei-rip-1]net192.168.4.0 [Huawei-rip-1]net192.168.5.0 (4)在各PC上配置相关IP地址和网关 (5)测试PC1与PC3的连通性 (6)在AR3上配置ACL [Huawei]acl2000//创建基本ACL,编号为2001 [Huawei-acl-basic-2000]ruledenysource192.168.1.10 //规则(默认为5)拒绝192.168.1.1IP地址访问 [Huawei-acl-basic-2000]intg0/0/1 [Huawei-GigabitEthernet0/0/1]traffic-filteroutboundacl2000 //在端口g0/0/1上应用ACL2000,设置在outbound方向 (7)配置ACL后,测试PC1与PC3的连通性 在此我整理了一份资料,算是给能看到这里的朋友一个福利,包括常见网络故障排查方法文档,常见路由器交换机配置视频以及网工资料包。 需要获取这份网工资料包的小伙伴可以直接关注后台私信【学习】即可获取哦!