ACL访问控制列表

目录

前言

1、ACL的概述

   1.1、ACL的分类

   1.2、ACL的作用

   1.3、ACL在接口应用的方向

2、ACL的配置实例

---

前言

ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器，哪些数据包可以接受，哪些数据包需要拒绝。

1、ACL的概述

   1.1、ACL的分类

标准访问控制列表：基于源IP地址过滤数据包，列表号是2000-2999，列表需要放在靠近目

标的位置。

扩展访问控制列表：基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包，

列表号是3000-3999，列表需要放在靠近源的位置。

命名访问控制列表：命名访问控制列表允许在标准和扩展访问控制列表中使用，名称代替表号。

   1.2、ACL的作用

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

   1.3、ACL在接口应用的方向

出:已经过路由器的处理，正离开路由器接口的数据包

出接口上调用ACL将不会影响本地路由器，将会影响数据传输过程中的下一台路由器，策略不会在本地生效。

入:已到达路由器接口的数据包，将被路由器处理

入接口上调用ACL将会影响本地路由器，策略会在本地生效。

注意：列表应用到接口方向与数据传输方向有关

2、ACL的配置实例

AR1:

[Huawei]sysname AR1      #重命名

[AR1]vl ba 10 20             #设置vlan

[AR1]int g0/0/0              #进入接口

[AR1-GigabitEthernet0/0/0]un sh              激活

[AR1-GigabitEthernet0/0/0]int g0/0/0.1

[AR1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24             #配置IP

[AR1-GigabitEthernet0/0/0.1]dot1q termination vid 10    #指定封装协议及vlan标签

[AR1-GigabitEthernet0/0/0.1]arp broadcast enable    #开启arp广播

[AR1-GigabitEthernet0/0/0.1]int g0/0/0.2

[AR1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24

[AR1-GigabitEthernet0/0/0.2]dot1q termination vid 20

[AR1-GigabitEthernet0/0/0.2]arp broadcast enable 

[AR1-GigabitEthernet0/0/0.2]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 192.168.100.1 24

[AR1-GigabitEthernet0/0/1]un sh

[AR1-GigabitEthernet0/0/1]q                 #退出

[AR1]acl 2000                 #创建ACL2000

[AR1-acl-basic-2000]rule 10 deny source 192.168.10.10 0.0.0.255    #拒绝来自192.168.10.10/24 的流量

[AR1-acl-basic-2000]q 

[AR1]int g0/0/0.1

[AR1-GigabitEthernet0/0/0.1]traffic-filter in acl 2000               #将ACL2000 应用在进方向

[AR1-GigabitEthernet0/0/0.1]q

[AR1]ip route-static 192.168.101.0 24 192.168.100.2                 #配置静态路由

AR2:

[Huawei]sysname AR2

[AR2]int g0/0/1

[AR2-GigabitEthernet0/0/1]ip add 192.168.100.2 24

[AR2-GigabitEthernet0/0/1]un sh

[AR2-GigabitEthernet0/0/1]int g0/0/0

[AR2-GigabitEthernet0/0/0]ip add 192.168.101.1 24

[AR2-GigabitEthernet0/0/0]un sh

[AR2-GigabitEthernet0/0/0]q

[AR2]ip route-static 192.168.10.0 24 192.168.100.1

[AR2]ip route-static 192.168.20.0 24 192.168.100.1

LSW1:

[Huawei]sysname LSW1

[LSW1]vl ba 10 20

[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access            #设置接口类型access
[LSW1-Ethernet0/0/1]port default vlan 10            #只允许vlan 10的信息通过
[LSW1-Ethernet0/0/1]int e0/0/2 
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 20
[LSW1-Ethernet0/0/2]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk              #设置接口类型trunk
[LSW1-GigabitEthernet0/0/1]port trunk al vl al               #允许所有信息通过
[LSW1-GigabitEthernet0/0/1]q

Client1:

 

Client2:

 

server1:

 

测试：

Client1:

 

Client2: