ACL–访问控制列表

1.访问控制
在路由器流量流入或者流出的接口上,匹配流量,然后执行相应动作
permit允许
deny拒绝

2.抓取感兴趣流

3.ACL匹配规则
自上而下逐一匹配,若匹配到了则按照对应规则执行动作,而不再向下继续匹配

思科:ACL列表末尾隐含一条拒绝所有的规则
华为:ACL列表末尾没有规则(有一条允许所有的规则)

4.ACL列表分类
1.基础ACL
仅关注数据包中源IP地址
基础ACL配置原则:ACL配置尽可能靠近目标
因为基础ACL并不是精确匹配,仅关注源IP地址,所以建议配置在靠近
目标的地方,防止误伤

2.高级ACL
除了关注数据包中的源IP以外,还会关注数据包中的目标IP,
以及端口号和协议

高级ACL配置原则:因为高级ACL实现精准匹配,所以不怕误伤,则尽可能的
	靠近源的位置配,节省链路资源

3.二层ACL

4.用户自定义ACL

需求1–PC1可以访问3.0,PC2不能访问
5.基础ACL步骤
1.创建ACL列表
ACL 2000-2999 基础ACL
ACL 3000-3999 高级ACL
ACL 4000-4999 二层ACL

2.写规则
rule deny source 192.168.1.20 0.0.0.0--通配符
0代表不可变,1代表可变 0,1可以穿插使用

3.在接口上调用规则
int g0/0/0
traffic-filter outbound acl 2000

需求2–PC1可以ping通3.10,不能ping通3.20
6.高级ACL步骤
1.创建ACL列表 可以写名字
acl xxxx 3000

2.写规则
rule deny ip source 192.168.1.10 0.0.0.0 destination
	192.168.3.20 0.0.0.0
	
	华为默认其他允许
3.在接口上调用规则
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用

需求3–要求pc1可以ping通ar2,但是不能telnet ar2
1.ar2开启telnet
1.配置aaa
local-user huawei privilege level 15 password cipher 123456
2.在aaa里创建用户名和密码信息，并且定义用户的服务类型
local-user huawei service-type telnet
3.创建VTY虚拟登录端口
user-interface vty 0 4
4.定义认证模式
authentication-mode aaa

2.新建一个路由器代替pc使用telnet
	需要一条缺省指向网关
	
	telnet 192.168.2.2
	

3.创建ACL列表 可以写名字
acl 3001

4.写规则
rule deny tcp source 192.168.1.30 0.0.0.0 destination
	192.168.2.2 0.0.0.0 destination-port eq 23(只拒绝tcp23号端口)
	
	华为默认其他允许
  

3.在接口上调用规则(路由器每个接口都要调用,因为每个接口都能登录telnet)
int g0/0/0
traffic-filter inbound acl name xxx 通过名字调用

undo rule x 删除规则


一个路由器的一个接口只能调用一张ACL列表
在ACL列表中,rule以5步进:方便插入规则