ACL访问控制列表

ACL简介

ACL(access control list) 访问控制列表，用于数据包的访问控制

ACL分为两种

基本ACL(2000-2999)： 只能匹配源IP地址

高级ACL(3000-3999): 可以匹配源IP,目标IP,源端口,目标端口等三层和四层的字段.

一个接口的同一个方向，只能调用一个ACL

一个acl里面可以有多个rule规则,并且是从上往下一次执行

数据包一旦呗某个rule匹配就不会在往下匹配了

用来做数据包访问控制时，默认放过所有(华为默认允许，思科默认拒绝)

ACL两个作用：

• 用来对数据包做访问控制
• 用来匹配范围

基本ACL(basic acl)

基本ACL用法，拓扑实验

下载 拓扑图： 点我下载

基础配置

R1:

[Huawei] un in en
[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.10.254 255.255.255.0 
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 12.1.1.1 255.255.255.0

静态路由：
[Huawei] ip route-static 172.16.10.0 255.255.255.0 12.1.1.2     【到达172.16.10.0的路由】

R2:

[Huawei] un in en
[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0
[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 172.16.10.254 255.255.255.0 

静态路由：
[Huawei] ip route-static 192.168.10.0 255.255.255.0 12.1.1.1    【到达192.168.10.0的路由】

Client1配置：

PC1配置：

PC2配置：

server1配置：

测试：

Client1来ping 172.16.10.1

结果： 成功

PC2来ping PC2 172.16.10.1

网络访问正常。开始做ACL实验

基本ACL

• 基本ACL

  基本ACL的范围(2000-2999)

  基本ACL只能匹配数据包的源地址

需求实验

在R2上配置基本ACL 拒绝PC1访问172.16.10.0网段[基本ACL]

默认情况是否可以访问172.16.10.0？

默认是可以访问的，现在通过 基本ACL 来阻止访问

R2路由器启用ACL来阻止PC1访问PC2

[Huawei] acl 2000  
[Huawei-acl-basic-2000] rule 5 deny source 192.168.10.1 0    [精确匹配PC1的地址让其拒绝访问]

[Huawei-acl-basic-2000] dis this  ##检查
[V200R003C00]
#
acl number 2000  
 rule 5 deny source 192.168.10.1 0 
#
return


进入接口应用2000 这条ACL语句

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000  ##应用在了出方向，当包

rule规则分别是 以 5 10 15 这样5条的递增

多条规则的时候分别是以上往下执行的

测试：

关掉策略载测试：

[Huawei-GigabitEthernet0/0/1]undo traffic-filter outbound

这样可以看到一条ACL语句就成功配置生效了

高级ACL

• 高级ACL

  高级ACL（3000-3999） 可以匹配源IP 目标IP 源端口 目标端口等三层和四层的字段

高级ACL实验2： 在R2上配置高级ACL拒绝PC1和PC2ping server1 ,但是允许http访问server1

ACL：

[Huawei-acl-adv-3000]rule deny ? 【高级ACL能够识别的协议】 <1-255> Protocol number gre GRE tunneling(47) icmp Internet Control Message Protocol(1) igmp Internet Group Management Protocol(2) ip Any IP protocol ipinip IP in IP tunneling(4) ospf OSPF routing protocol(89) tcp Transmission Control Protocol (6) udp User Datagram Protocol (17)

写法：

[Huawei]acl 3000

[Huawei-acl-adv-3000] rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

调用到接口：

[Huawei] int g0/0/1

[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

测试：

ACL用于telnet

禁止被192.168.10.2 telnet 到172.16.10.1 这台机器

写法：

rule 5 deny tcp source 192.168.10.2 0 destination 172.16.10 .2 0 destination-port eq telnet

调用：

[Huawei] int g0/0/1

[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

ACL允许源地址1.1.1.1 访问2.2.2.2 其他剩下的报文全部拒绝

acl 3008

rule permit ip source 1.1.1.1 0 destination 2.2.2.0 0 #允许访问2.2.2.2的配置

rule deny ip source any

调用：

[Huawei] int g0/0/1

[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3000

拒绝源地址1.1.1.1 在周一到周五 8:00 - 12:00 和 14:00-20:00 看网页，但允许上QQ

写法：

1. 首先设置时间段

[Huawei] time-range zaoban 08:00 to 12:00 working-day

[Huawei] time-range zaoban 14:00 to 20:00 working-day

检查一下：

[Huawei]display time-range zaoban  
Current time is 18:19:29 6-5-2019 Wednesday              

Time-range : zaoban ( Active ) 
 14:00 to 20:00 working-day   
 08:00 to 12:00 working-day   

2. 规则配置：

acl 3100
rule 5 deny tcp source 1.1.1.1 0 destination any destination-port eq 80 time-range zaoban

应用到接口：

[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3100

因为QQ本来就允许，所以不用写，如果禁用了可以加一条,这样就做到了 上班时间段可以上网不可以上QQ

非上班时间可以上网

拒绝任何人上QQ 不允许上QQ

QQ端口为UDP8000 端口

制定规则：
acl number 3101 
rule 5 deny udp destination-port eq 8000

调用规则在接口:
[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter outbound acl 3100

ACL用于控制telnet

控制办法1 调用在vty接口

1. 第一步 开启AAA
<Huawei>sys
[Huawei]aaa   ##进入aaa配置
[Huawei-aaa] local-user aa privilege level 3 password cipher aa    ##创建aa用户 密码 aa
[Huawei-aaa] local-user aa service-type telnet  ##应用于telnet
[Huawei]user-interface vty 0 4  ##进入vty接口
[Huawei-ui-vty0-4]authentication-mode aaa  ##将aaa应用到vty接口

控制测试：

<Huawei>telnet	
<Huawei>telnet 12.1.1.1
  Press CTRL_] to quit telnet mode
  Trying 12.1.1.1 ...
  Connected to 12.1.1.1 ...

Login authentication


Username:aa
Password:
<Huawei>

截图：

控制办法2 只允许指定IP telnet

R2:
[Huawei]acl 2012
[Huawei-acl-basic-2012]rule permit source 12.1.1.1 0
[Huawei-acl-basic-2012]rule deny

调用acl：
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]acl 2012 inbound 

创建用户测试：
[Huawei]aaa
[Huawei-aaa]local-user aa privilege level 3 password cipher aa
[Huawei-aaa]local-user aa service-type telnet

开启设备远程认证：
[Huawei]user-interface vty  0 4
[Huawei-ui-vty0-4]authentication-mode aaa

R1测试：

正确IP用户访问：

把IP更改后telnet访问：

[Huawei-GigabitEthernet0/0/1]undo ip add [Huawei-GigabitEthernet0/0/1]ip add 12.1.1.10 24 [Huawei-GigabitEthernet0/0/1]quit

telnet 12.1.1.2 Press CTRL_] to quit telnet mode Trying 12.1.1.2 ... Error: Can't connect to the remote host #这是根据IP地址来的 所以更改了IP 将无法连接

tips

ACL注意事项

注1： 一个接口的同一个方向只能调用一个acl规则

注2：一个acl里面可以有多个rule规则，他们都是从上往下依次匹配执行，一旦命中，不会再次匹配

注3： 切记 著举报一旦被一个rule规则匹配，就不会再往下匹配

注4： 用来做数据包访问控制的时候，默认允许所有[华为设备，思科设备是默认拒绝所有]

ACL例子：

acl 3100
	deny ip source 1.1.1.1 0
	per ip eource 1.1.1.1 0
	deny ip source 1.1.1.1 0
	per ip source anay 
    
 这条ACL  如果匹配的是 1.1.1.0   会直接呗拒绝掉。因为它已经匹配了第一条

考试题：

正确答案为 B

---