网络基础之ACL规则.doc

网络基础之ACL规则 访问控制列表（Access Control list, ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包，ACL适用于所有的被路由协议，如IP、IPX、AppleTak等。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 访问控制列表的作用 1.提供网络访问的基本安全手段 2.访问控制列表可用于QOS,对数据流量进行控制 3.提供对通信流量的控制 1、ACL分类 按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL，ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级ACL的功能更加强大。 2、ACL规则 每个ACL作为一个规则组，可以包含多个规则。规则通过规则ID（rule-id）来标识，规则ID可以由用户进行配置，也可以由系统自动根据步长生成。一个ACL中所有规则均按照规则ID从小到大排序。 规则ID之间会留下一定的间隔。如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。例如步长设定为5，ACL规则ID分配是按照5、10、15……来分配的。如果步长值是2，自动生成的规则ID从2开始。用户可以根据规则ID方便地把新规则插入到规则组的某一位置。 报文到达设备时，设备从报文中提取信息，并将该信息与ACL中的规则进行匹配，只要有一条规则和报文匹配，就停止查找，称为命中规则。查找完所有规则，如果没有符合条件的规则，称为未命中规则。 ACL的规则分为“permit”（允许）规则和“deny”（拒绝）规则。 综上所述，ACL可以将报文分成三类： 命中“permit”规则的报文 命中“deny”规则的报文 未命中规则的报文 配置规则 1.每个接口、每个协议或每个方向上只可以应用一个访问列表。（因为ACL末尾都隐含拒绝的语句，经过第一个ACL的过滤，不符合的包都被丢弃，也就不会留下任何包和第二个ACL比较）。 2.除非在ACL末尾有permit any命令，否则所有和列表条件不符的包都将丢弃，所以每个ACL至少要有一个运行语句，以免其拒绝所有流量。 3.要先创建ACL，再将其应用到一个接口上，才会生效。 4.ACL过滤通过路由器的流量，但不过滤该路由器产生的流量。 例如华三的路由器高级ACL配置 连接下联三层交换机的接口 [Flysky520]int g0/0 [Flysky520-GigabitEthernet0/0]ip address 192.168.1.2 24 外网接口地址 [Flysky520]int g0/1 [Flysky520-GigabitEthernet0/1]ip address 211.136.10.1 24 去往内网网段的路由 [Flysky520]ip route-static 192.168.2.0 24 192.168.1.1 [Flysky520]ip route-static 192.168.3.0 24 192.168.1.1 访问internet的路由 [Flysky520]ip route-static 0.0.0.0 0 211.136.10.1 NAT配置 [Flysky520]acl number 3000 [Flysky520-acl-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255 [Flysky520acl-adv-3000]rule permit ip source 192.168.3.0 0.0.0.255 [Flysky520]int g0/1 [Flysky520-GigabitEthernet0/1]nat outbound 3000 ACL规定哪些流量可以通过 3、WEB路由如何使用ACL [协议]：这条ACL规则所走的协议的类型。 [动作]：允许或阻断； [方向]： 进或转发； [进]：内网或外网进路由。 [转发]：路由接收到内网或外网数据然后把数据进行转发动作。、 [源地址]：转发与进动作的起始地址。 [目的地址]：转发与进动作的结束地址。 注意事项： 目的地址可以不填写，表示所有。 [源端口]：允许或阻断的起始端口。 [目的端口]：特定目标的端口。 [进接口]：数据来源口。 [出接口]：目的出口。