从此文了解ACL配置，欢迎学习、指导。

目录

基本ACL配置举例

高级ACL配置举例

ACL配置练习题 

---

定义

访问控制列表ACL（Access Control List）本质上是一种报文过滤器。

范围:   OSI七层模型中的网络层、传输层的信息。

滤芯：五元组-分别是报文的源地址、目的地址、源端口、目的端口、IP协议类型等。

扩展：ACL（访问控制列表） 和 IP prefix-list（前缀列表）的路由匹配区别

目的

ACL过滤穿过路由器的报文，不能过滤由本路由器上始发的报文。

路由器本地产生的报文（链路状态通告，路由表通告等等），直接路由表查表转发。

本地始发的报文，过滤至少要在下一个路由器。

ACL的常用匹配项

IP承载的协议类型

格式：protocol-number  协议号/协议名
协议：ICMP（1）、TCP（6）、UDP（17）、GRE（47）、IGMP（2）、IP（指任何IP层协议）、OSPF（89）
举例：rule 5 permit ospf //表示允许OSPF报文通过
      rule 6 deny ip destination 10.1.1.1 0 //表示拒绝目的IP为10.1.1.1的报文

源/目的IP地址及其通配符掩码 

格式：source <IP地址前缀>  <通配符> destination <IP地址前缀>  <通配符>
举例：rule 5 permit ip source 192.168.1.0 0.0.0.255 
     //允许192.168.1.0 /24网段的主机通过。
注意：
0代表严格匹配、1代表不严格匹配
0和1可以不连续  10.1.2.0   0.0.254.255 
//匹配  10.1.xxxx xxx0.xxxx xxxx  (x可以为0、1)

 
源/目的MAC地址及其通配符掩码

格式：source-mac <mac地址前缀>  <通配符> destination-mac <mac地址前缀>  <通配符>
举例：rule 5 permit source-mac i00e0-fc01-0101  ffff-ffff-ffff
     //仅仅允许00e0-fc01-0101这一个MAC地址的主机通过。
注意：
1代表严格匹配、0代表不严格匹配
0和1可以不连续  

TCP/UDP端口号匹配

格式：source-port  <端口>  destination-port  <端口> 
端口：range port-start port-end：指定端口的范围。
eq port：指定端口。
gt port：指定大于端口。
lt port：指定小于端口

tcp:ftp数据(20)、ftp控制(20)、telnet(21)、www(80)、bgp(179)
udp:dns(53)、tftp(69)、snmp(161)、rip(520)

举例：rule deny tcp destination-port eq www/80
     //拒绝登录万维网。 

生效时间段

格式：time-range <time-name> from <time1> <date1>  to <time2> <date2> 
举例：time-range test from 00:00 2014/01/01 to 23:59 2014/12/31
调用：acl number 2001                                                                  
     rule 5 permit time-range test 

默认隐私语句

华为ACL默认不匹配时permit(放行)

ACL中配置了规则，但没有报文匹配上规则

FTP、Telnet、HTTP、SFTP、TFTP、FTP默认（deny）拒绝登录。

登录协议调用ACL：只需配置Permit规则，无需配置deny规则，没有匹配上规则会被默认deny。 

RIP和OSPF协议调用ACL区别TFTP

1. OSPF路由协议使用IP协议89进行封装，没有固定的端口号。
2. IS-IS路由协议使用IP协议124进行封装，没有固定的端口号。
3. IGRP路由协议使用IP协议9进行封装，    没有固定的端口号。
4. EIGRP路由协议使用IP协议88进行封装，没有固定的端口 

RIP    端口UDP 520      特定的组播224.0.0.9   
ospf   没有固定端口号    特定的组播224.0.0.6 224.0.0.7  

rule 5 deny  ip   ospf //禁止IP层中的OSPF协议进行通信。
rule 5 deny  ip   ripf //禁止IP层中的rip协议进行通信。

rule 5 deny  ip   destination-ip 224.0.0.6   //拒绝OSPF协议中的Hello消息通过。
rule 5 deny udp   destination-ip 224.0.0.9 destination-port 520//拒绝RIP协议通告

基本ACL配置举例

基于源IP配置

限制ftp访问：  ftp  acl   2000
限制http访问： http acl acl 2000
限制tftp访问： tftp-server  acl acl 2000

限制Telnet登录: [Telnet_Server] user-interface vty 0 14
[Telnet_Server-ui-vty0-14] protocol inbound telnet
[Telnet_Server-ui-vty0-14] acl 2001 inbound 

高级ACL配置举例

基于五元组配置

不能ping，但能访问telnet/www/ftp
acl 3000
rule  deny icmp source 192.168.1.3 0 destination 192.168.3.1 0
rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 23/80/21

ACL配置练习题 

练习题http://t.csdn.cn/l2keE练习题前缀列表能够同时匹配IP地址前缀以及掩码长度，列表默认动作为拒绝。ACL访问控制列表，即用于流量的匹配与控制，但也能够用于匹配路由条目。而前缀列表主要用于路由的匹配，所以前缀列表在匹配路由上远胜于ACL。路由策略，即对路由相关属性进行修改。而对于另一种技术：策略路由，即作用是直接控制路由。export：应用于本身路由器，对传递出去的路由进行过滤。import：应用于本身路由器，对接收到的路由进行过滤。关于export方向，只能在ASBR设备上应用过滤5类的路由条目。关于import方向，可以应用在任何路https://blog.csdn.net/qq_45443704/article/details/128789435

练习题http://t.csdn.cn/7Wonb