前言

ACL：Access Control Lists 即访问控制列表，是一种常用的包过滤技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

一、ACL的基本概念

ACL的主要作用有两种：

用来对数据包做访问控制（丢弃或放行）
结合其他协议，用来匹配范围。

ACL的工作原理：

当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。

ACL种类:

基本acl (2000-2999) : 只能匹配源ip地址。
高级acl (3000-3999) : 可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。

ACL的应用原则

基本ACL，尽量用在靠近目的点
高级ACL，尽量用在靠近源的地方(可以保护带宽和其他资源)

应用规则

一个接口的同一个方向，只能调用一个acl
一个acl里面可用有多个rule规则，按照规则ID从小到大排序，从小往上依次排序
数据包一旦被某RULE匹配，就不再继续向下匹配
用来数据包访问控制时，默认隐含放过所有（华为设备）

二、基本命令

1.创建2000 ACL

启动ACL，并在其出口端启用

acl number 2000                   
    ###创建2000acl（2000为默认号，基本ACL需在2000-2999之间）
    
rule 5 deny soure  XXX.XXX.XXX.XXX   0   
    ###拒绝源地址为XXX.XXX.XXX.XXX的流量，0表示仅此一台，5是这条规则的序号，不可变
    
Int g0/0/1 
    ###进入g0/0/1端口
Ip add XXX.XXX.XXX.XXX  XXX.XXX.XXX.XXX
    ###写入IP XXX.XXX.XXX.XXX
    
Traffic-filter outbound acl 2000
    ###出口方向调用acl 20，outside是出方向，inside是入方向
    
Undo shutdown

2.创建2001 ACL

Acl number 2001
    ###创建2001acl
    
Rule permit source 192.168.1.0   0.0.0.255
    ###permit代表允许，soure代表来源，掩码部分为反掩码
    
Rule deny source any
    ###拒绝所有访问，any代表为所有——可以输入为0.0.0.0 255.255.255.255或者rule deny

Intg0/0/1
     ###进入出口接口
     
IP add 192.168.2.254  24
     ###写入IP 192.168.2.254 

Traffic-file outbound  
     ###进入出口模式
     
Ip add 192.168.2.254 24
     ###IP写入为192.168.2.254 
     
Traffic-filter outbound acl 20001
     ###出口方向调用ACL 20001

3.设置3000 ACL（拒绝某网段访问）

Acl number 3000
    ###拒绝tcp为高级控制，所以3000起

Rule deny icmp soure 192.168.1.0 0.0.0.255 destination 192.168.3.1 0  
拒绝ping
Rule permit tcp soure 192.168.1.3 0 destination 192.168.3.1 0 destination-port  eq 80

总结

ACL被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。在实际生活中扮演的重要角色

原文链接：https://blog.csdn.net/weixin_43142543/article/details/121790122