这里写目录标题

• • 使用基本ACL
  • 使用高级ACL
  • ACL ：访问控制列表（Access Control List）
  • ACL中的规则
  • 将ACL绑定到接口
  • 应用

ACL ：访问控制列表（Access Control List）

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

ACL的作用就是根据条件对传输到接口的数据包进行过滤

ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类，并对不同类型的报文进行不同的处理。

通过这段定义我们现在可以知道，上面我们提到的"条件"就是定义在ACL中的规则，一个ACL是一系列规则的集合，也就是在一个ACL中我们可以定义多条规则，也就相当于定义了多个条件来过滤接口上的数据包

创建ACL的格式：acl ACL编号

根据ACL的编号范围进行分类：

分类	编号范围	可依据的过滤参数
基本ACL	2000-2999	源IP地址
高级ACL	3000-3999	源IP地址、目的IP地址、 源端口、目的端口等

"可依据的过滤参数"也就是我们可以依据数据包中的这些参数来定义规则

当我们使用基本ACL时，我们只能对源IP地址进行过滤
例如：不允许接口接收源IP地址为192.168.1.0网段的数据包

当我们使用高级ACL时，我们就可以对多个参数进行过滤
例如：不允许接口发送源IP地址为192.168.1.0网段，目的IP地址为192.168.1.2，目的端口为21的数据包

ACL中的规则

ACL中有多条规则时，会逐条对数据包进行匹配，如果数据包不满足任意一条规则，则会正常向目的端发送，如果有一条规则和数据包相匹配，那么就会根据这条规则来判断是否允许发送该数据包

规则定义格式

基本ACL：rule 规则编号 deny/allow source 源IP地址网段 源IP反子网掩码

例如：rule 5 deny source 192.168.1.0 0.0.0.255

高级ACL：rule 规则编号 协议类型 source 源IP地址网段 源IP反子网掩码 destination 目的IP地址 0.0.0.0 destination-port eq 目的端口

例如：rule 10 tcp source 192.168.1.0 0.0.0.255 destination 172.16.0.1 0.0.0.0 destination-port eq 21

将ACL绑定到接口

ACL的作用对象是接口，所以我们需要将配置好的ACL绑定到接口上

命令：traffic-filter 过滤方向 acl ACL编号
例如：traffic-filter outbound acl 2000
注意：
1.必须先进入接口再执行此命令
2.outbound是对发送的数据包进行过滤，还可以设置为inbound对接收的数据包进行过滤

应用

使用基本ACL

目标：实现PC1不能访问服务器，PC2可以访问服务器

配置

R1

[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16[R1-GigabitEthernet0/0/0]quit 
[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 172.16.1.1 24[R1-GigabitEthernet0/0/1]qu[R1]acl 2000[R1-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255[R1-acl-basic-2000]qu[R1]inter GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000   #数据包的发送方向是从PC端到服务端，要过滤PC发送的数据包，对于g0/0/0接口来说，是接收数据包，所以使用inbound

PC1

PC2

服务器

访问测试

PC1访问服务器

PC2访问服务器

使用高级ACL

目标：实现PC1能够访问服务器1而不能访问服务器2，PC2能够访问服务器2但不能访问服务器1

配置

R1

[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 16[R1-GigabitEthernet0/0/0]qu[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip add 172.16.0.1 16[R1-GigabitEthernet0/0/1]qu[R1]acl 3000[R1-acl-adv-3000]rule deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.2.12 0.0.0.0  #拒绝源IP地址网段为192.168.1.0，目标地址为172.16.2.12的数据包[R1-acl-adv-3000]rule deny icmp source 192.168.2.0 0.0.0.255 destination 172.16.1.11 0.0.0.0  #拒绝源IP地址网段为192.168.2.0，目标地址为172.16.1.11的数据包[R1-acl-adv-3000]qu[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 3000  #数据包发送方向为从PC端到服务器，对于g0/0/1接口来说，是将PC端的数据包从g0/0/1接口发送出去，所以在该接口使用outbound

PC1

PC2

服务器1

服务器2

访问测试

PC1访问服务器1

PC1访问服务器2