當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

ACL的概述以及命令应用

發(fā)布時間：2023/12/29 编程问答 23 豆豆

生活随笔收集整理的這篇文章主要介紹了 ACL的概述以及命令应用小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

一、ACL的概述

ACL：訪問控制列表
※是由一系列permit和deny語句組成的（后面跟著條件列表）、有序規(guī)則的列表，它通過匹配報文的相關(guān)信息實現(xiàn)對報文的分類；
※ACL本身只能夠用于報文的匹配和區(qū)分，而無法實現(xiàn)對報文的過濾功能（此功能側(cè)面可以說明ACL可以提高網(wǎng)絡(luò)的安全性），針對AC所匹配的報文的過濾功能，需要特定的機制來實現(xiàn)（例如在交換機的接口上使用traffic-filter命令調(diào)令ACL來進行報文過濾），ACL只是一個匹配用的工具；
※ACL除了能夠?qū)笪倪M行匹配，還能夠用于匹配路由；
※主要應用于流量過濾，實際上是一條一條規(guī)則的集合，是一種工具，可以應用在任何場合

二、ACL是什么

ACL能夠匹配一個IP數(shù)據(jù)包中的源IP地址、目的IP地址、協(xié)議類型、源目的端口等元素的基礎(chǔ)性工具；ACL還能夠用于匹配路由條目。說了這么多，那么ACL到底是什么呢？下面就讓我們從ACL的配置深入了解它吧。
1、ACL的標識種類
①：利用數(shù)字標識
②：利用名稱標識
具體分為以下四類

2、ACL的匹配順序

Rule:代表第一條，第二條
5:步長
permit：允許
deny：拒絕

這里需要提一點的是，為什么一般rule 5步長寫5，而不是從1/2/3開始，這個沒有固定的數(shù)字，以上圖舉例，如果說步長寫5，臨時想在中間插入一個不允許訪問192.168.1.4，就可以在中間插入，如果是rule1/2/3，就沒辦法中間插入。
3、ACL的配置
創(chuàng)建ACL:

acl num 編號范圍是2000~2999

創(chuàng)建一個規(guī)則

rule 5 （permit/deny）source src-address wildcard source：源；wildcare：通配符

查看acl信息

display acl num

激活需進出口接口：

traffic-filter outbound/inbound acl num outbound：出的流量接口；inbound：進的流量接口

允許/不允許所有通過

rule permit/deny source any

4、wildcare：通配符
這里要說明一個wildcare（通配符）的概念：
通配符是一個32比特長度的數(shù)值，用于指示IP地址中，哪些比特為需要嚴格匹配，哪些比特位則無所謂
通配符通常采用類似網(wǎng)絡(luò)掩碼的點分十進制形式表示，但是漢語卻與網(wǎng)絡(luò)掩碼完全不同

如上圖，0：表示需匹配；1：表示無所謂

再舉個通俗易懂的例子：

有兩個特殊的通配符
192.168.1.1 0.0.0.0 =192.168.1.1 0
0.0.0.0 255.255.255.255 = any

三、實驗加深理解

1、實驗要求：允許PC2通過數(shù)據(jù)
只有pc2可以訪問
先配置網(wǎng)關(guān)

[Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.254 24 [Huawei-GigabitEthernet0/0/1]int g0/0/2 [Huawei-GigabitEthernet0/0/2]ip add 10.0.0.254 24

先創(chuàng)建列表

[Huawei]acl 2000

定義規(guī)則

rule deny source 192.168.1.0 0.0.0.255 **阻擋1.0網(wǎng)段的所有訪問**

查看acl 2000信息

[Huawei-acl-basic-2000]dis acl 2000

這時候是可以ping通的，配置了接口但是還沒有激活所以可以ping通

然后激活接口

[Huawei]int g0/0/2 先進要激活的接口

對于接口而言，有出的流量接口（outbound），也有進的流量接口（inbound）

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 2000

然后查看下信息

這時候pc1就無法ping通了

pc2可以ping通

1.2實驗一的基礎(chǔ)上發(fā)生更改，改為：僅允許1.0可以通過。
先斷掉之前配置的rule 5

創(chuàng)建acl

[Huawei]acl 2000

允許192.168.1.0網(wǎng)段

[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

阻斷所有網(wǎng)段

[Huawei-acl-basic-2000]rule deny source any

ping發(fā)現(xiàn)pc1可以ping通，pc2不可以

1.3、在實驗一的基礎(chǔ)上，更改實驗要求：若允許1.1可以ping通pc3，但是2.1不能ping通pc3。
在g0/0/2出接口配置outbound
創(chuàng)建acl

[Huawei]acl 3000 **有源有目標地址，acl等級要3000**

允許源地址192.168.1.0訪問目的地址10.0.0.1網(wǎng)段

[Huawei-acl-adv-3000]rule permit ip source 192.168.1.1 0 destination 10.0.0.1 0

不允許源地址192.168.2.0訪問目的地址10.0.0.1網(wǎng)段

[Huawei-acl-adv-3000]rule deny ip source 192.168.2.1 0 destination 10.0.0.1 0

查看一下

然后激活acl 3000之前需要先詢關(guān)閉掉acl2000的

[Huawei-GigabitEthernet0/0/2]undo traffic-filter outbound

進入接口g0/0/2 ，激活acl 3000

[R1-acl-adv-3000]int g0/0/2 [Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000

達成結(jié)果，1.1可以ping通，1.2無法ping通

實驗二、

①、首先實現(xiàn)全網(wǎng)互通

sw1 [Huawei]sys SW1 [SW1]vlan batch 10 20 [SW1]int e0/0/1 [SW1-Ethernet0/0/1]p l a [SW1-Ethernet0/0/1]p d v 10 [SW1-Ethernet0/0/1]int e0/0/2 [SW1-Ethernet0/0/2]p l a [SW1-Ethernet0/0/2]p d v 20 [SW1-Ethernet0/0/2]int e0/0/3 [SW1-Ethernet0/0/3]p l a [SW1-Ethernet0/0/3]p d v 10 [SW1-Ethernet0/0/3]int e0/0/4 [SW1-Ethernet0/0/4]p l a [SW1-Ethernet0/0/4]p d v 20 [SW1-Ethernet0/0/4]int e0/0/5 [SW1-Ethernet0/0/5]p l t [SW1-Ethernet0/0/5]p t a v a R1 [Huawei]sys R1 [R1]int g0/0/0.1 [R1-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0/0.1]d t v 10 [R1-GigabitEthernet0/0/0.1]a b e [R1-GigabitEthernet0/0/0.1]int g0/0/0.2 [R1-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24 [R1-GigabitEthernet0/0/0.2]d t v 20 [R1-GigabitEthernet0/0/0.2]a b e [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 [R1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 R2 [R2]int g0/0/0 [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 [R2-GigabitEthernet0/0/0]int g0/0/1 [R2-GigabitEthernet0/0/1]ip add 100.1.1.254 24 [R2]ip route-static 192.168.1.0 24 12.1.1.1 [R2]ip route-static 192.168.2.0 24 12.1.1.1

全網(wǎng)ping通，實現(xiàn)全網(wǎng)互通

②、配置ACL使得vlan10和vlan20不通
阻止vlan10和vlan20，需要阻止192.168.10.0的方向

rule permit source any：允許所有通過 [R1]acl 2000 [R1-acl-basic-2000]rule permit source any [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000

結(jié)果如下圖，已實現(xiàn)

③、配置ACL使R1不能訪問webserver

[R1]acl 3000 [R1-acl-adv-3000]rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.20 destination-port eq 80

display acl 3000 查看一下配置是否正確

總結(jié)

以上是生活随笔為你收集整理的ACL的概述以及命令应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

命令
acl

上一篇：批量提取文件名的方法
下一篇： NetBeans删除项目后无法重新打开该