本文講述了華為HCIA認(rèn)證學(xué)習(xí)筆記——ACL原理與配置方法。分享給大家供大家參考，具體如下： 

ACL（access control list）

定義：由一系列規(guī)則組成的集合。設(shè)備可以通過這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類，并對(duì)不同類型的報(bào)文進(jìn)行不同的處理。

分類：

         1、基本ACL，編號(hào)范圍2000~2999，通過源ip進(jìn)行匹配；

         2、高級(jí)ACL，編號(hào)范圍3000~3999，可以使用報(bào)文的源/目的IP地址、源/目的端口號(hào)以及協(xié)議類型等信息來匹配報(bào)文；

         3、高級(jí)ACL，編號(hào)范圍4000~4999，可以使用源/目的MAC地址以及二層協(xié)議類型等二層信息來匹配報(bào)文；

ACL規(guī)則：由運(yùn)行permit和拒絕deny這樣的邏輯構(gòu)成一條條規(guī)則，一個(gè)ACL可以有多條規(guī)則，多條規(guī)則的優(yōu)先級(jí)不同，一個(gè)接口的一個(gè)方向只能調(diào)用一個(gè)ACL；

匹配規(guī)則：

         1、配置順序，按ACL規(guī)則編號(hào)（rule-id）從小到大的順序迚行匹配，默認(rèn)寫的第一條規(guī)則的編號(hào)為5，ARG3系列路由器默認(rèn)規(guī)則編號(hào)的步長(zhǎng)是5，故下一跳規(guī)則的編號(hào)為10；

         2、自勱排序，使用“深度優(yōu)先”的原則進(jìn)行匹配，即根據(jù)規(guī)則的精確度排序；

案例解析：下圖的PC、路由表已配置好，PC相互都可以通信。

例子1：在R2配置基本ACL，使得PC1訪問不了172.16.10.0的網(wǎng)絡(luò)。

1. acl 2000：進(jìn)入R2，進(jìn)入一個(gè)編號(hào)2000的acl；
2. rule deny source 192.168.10.1 0：創(chuàng)建規(guī)則，拒接192.168.10.1這這個(gè)IP訪問，0是反掩碼，精確匹配，會(huì)自動(dòng)生成序號(hào)5；
3. display this：查看配置；

    

4. undo rule 5：刪除序號(hào)為5的規(guī)則；
5. int gi 0/0/0；進(jìn)入指定端口；
6. traffic-filter inbound acl 2000：在接口的入方向調(diào)用acl，出方向是outbound；
7. undo traffic-filter inbound：最后測(cè)試完成后，將接口的acl配置取消；

例子2：在R2上配置高級(jí)ACL，拒絕PC1、PC2ping通PC4，但是允許其http訪問PC4.

1. acl 3000：進(jìn)入編碼3000的高級(jí)acl；
2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0：自定規(guī)則，拒絕ip網(wǎng)絡(luò)位為192.168.10的ICMP協(xié)議的數(shù)據(jù)到172.16.10.0主機(jī)上；
3. int gi 0/0/1；
4. traffic-filter outbound acl 3000：在接口的出方向調(diào)用acl3000；

下面使用http請(qǐng)求，可以看到返回狀態(tài)碼是200，表示訪問成功。

例子3：拒接PC1telnet訪問PC4.

1. acl 3000；
2. rule deny tcp source 192.168.10.1 0 destination 172.16.10.2 0 destination-port eq telnet ：拒絕192.168.10.1的telnet訪問172.16.10.2主機(jī)；

最新評(píng)論