ACL访问控制列表

作用

1、在流量转发的接口限制流量的进或出。

2、为其他策略定义感兴趣的流量。

当数据流量经过路由器接口进或出时，ACL可以匹配流量产生动作（允许或拒绝）。

匹配规则：1、自上而下逐一匹配，上条匹配按上条执行，不会再查看下一条。

2、Cisco系列产品在末尾拒绝所有设备，华为系列产品在末尾允许所有设备。

查看ACL列表：

[AR1]display acl 编号

标准acl编号范围：2000~2999

扩展acl编号范围：3000~3999

标准ACL

仅关注数据包中的源IP地址。

配置：由于标准ACL仅关注数据包的源IP地址，所以在调用时，尽可能靠近目标，以免误删流量。

[AR1]acl 2000
[AR1-acl-basic-2000]rule deny soure 192.168.1.0 0.0.0.0   #0.0.0.0是通配符，可以不连续。

通配符：例：192.168.1.0 0.0.0.255------>192.168.1.0~192.168.1.255

192.168.1.0 0.255.0.255----->192.1~255.1.1~255

每个acl列表命令以5为步长，即写的第一条编号为5，第二条编号为10，以此类推。

插入固定编号的acl：

[AR1-acl-basic-2000]rule 7 permit soure 192.168.1.2 0.0.0.0

 删除：

[AR1-acl-basic-2000]undo rule 10

调用：

[AR1]interface g0/0/0
[AR1-g0/0/0]traffil-filter outbound/inbound acl 2000

扩展ACL

由于扩展acl精确匹配流量源、目的IP地址，故调用在尽量靠近源的接口，避免资源浪费。

1、关注数据包中的 源、目标IP地址；

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

[AR1-g0/0/0]traffic-filter inbound acl 3000    #调用

2、关注数据包中的源、目标IP以及目标端口号。

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 denstination 192.168.2.2 0.0.0.0 destination-port eq 23

[AR1-g0/0/0]traffic-fiter inbound acl 3000