ACL详解

  企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能稳定。访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

如图所示，通过规则实现192.168.1.0/24访问internet，不能访问服务器，而192.168.2.0/24可以访问服务器，不能访问internet，就可以用ACL控制实现。

Acl的作用：本身没有过滤的功能，主要依靠数据包中里面的五元素（SIP、 DIP 、Sport 、 Dport 、 协议）进行抓取流量过滤。ACL是一个流量匹配工具 本身没有过滤作用，真正有过滤作用的一般是策略生效。

同一个流量的概念：（ SIP 、  DIP 、 Sport 、 Dport 、 协议）进行抓取数据流，5个条件一定要是一摸一样  才可以算得上同一个数据流。

一、      ACL分类

基本AC（一般是SIP与DIP）与高级ACL（一般是5元素）以及二层ACL。

基本acl 这块匹配不是很精确。序列号，默认是5，步长是5，例如rule 5 、rule 10 、rule 15 。匹配原则是从小到大，如果都匹配不上，acl允许所有通过。

二、      看图分析：

通过基本ALC配置实现，192.168.1.0/24不能访问internet，

以上图片解释：

A，        首先进入acl 2000.

B，        Rule deny source 192.168.1.0 0.0.0.255  //rule 后一般跟上序号，不写的话默认是5，deny是拒绝的意思，192.168.1.0 0.0.0.255 的意思是拒绝该网段从RTA路由器出去。

C，        一般情况下是在进口拒绝，这个例子是在出口拒绝。

总之：一句话概括，就是先定规则，进入接口匹配规则。

配置结果确认截图：

2、匹配原则（规则匹配原则是从上到下，只要前面匹配就执行）

三、基本acl配置实战

1）、拓扑图

 实现PC1能正常访问服务器（192.168.2.20），而PC2不能访问服务器。

2)、基本配置

2.1、PC1  192.168.1.1/24  192.168.1.254

2.2、PC2  192.168.1.2/24  192.168.1.254

2.3、R1的基本配置（IP以及静态路由）

sys

[Huawei]sy R1

[R1]int g 0/0/0

 [R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24

 [R1-GigabitEthernet0/0/0]int g 0/0/2

 [R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24

[R1]dis ip int brief

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              192.168.1.254/24     up         up       

GigabitEthernet0/0/1              192.168.3.1/24       up         up       

[R1]ip route-static 192.168.2.0 24 192.168.3.2//配置静态路由

[R1]dis ip routing-table protocol static

Route Flags: R - relay, D - download to fib

--------------------------------------------------------------------

   192.168.2.0/24  Static  60   0          RD   192.168.3.2    

2.4、R2的基本配置（IP以及静态路由）

sys

 [Huawei]sy R2

[R2]int g 0/0/0

 [R2-GigabitEthernet0/0/0]ip address 192.168.3.2 24

 [R2-GigabitEthernet0/0/0]int g 0/0/1

[R2-GigabitEthernet0/0/1]ip address 192.168.2.1 24

 [R2]DIS IP INT brief

Interface                         IP Address/Mask      Physical   Protocol 

GigabitEthernet0/0/0              192.168.3.2/24       up         up       

GigabitEthernet0/0/1              192.168.2.1/24       up         up       

[R2]ip route-static 192.168.1.0 24 192.168.3.1//配置静态路由

[R2]dis ip routing-table protocol static

    192.168.1.0/24  Static  60   0          RD   192.168.3.1    

3）、联通行测试

3.1、PC1（192.168.1.1）与服务器（192.168.2.20）

PC>ping 192.168.2.20

Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break

Request timeout!

From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms

From 192.168.2.20: bytes=32 seq=3 ttl=126 time=62 ms

From 192.168.2.20: bytes=32 seq=4 ttl=126 time=78 ms

From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms

3.2、PC1（192.168.1.2）与服务器（192.168.2.20）

PC>ping 192.168.2.20

From 192.168.2.20: bytes=32 seq=2 ttl=126 time=63 ms

From 192.168.2.20: bytes=32 seq=3 ttl=126 time=78 ms

From 192.168.2.20: bytes=32 seq=4 ttl=126 time=94 ms

From 192.168.2.20: bytes=32 seq=5 ttl=126 time=78 ms

4）、ALC基本配置实现PC2（192.168.1.2） 不能访问服务器192.168.2.20

[R1-acl-basic-2000]rule 5 deny source 192.168.1.2 0.0.0.0//限制某个地址

[R1-acl-basic-2000]quit

[R1]int g 0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

再次测试判断情况：（ping不通了）类似防火墙规则。

PC>ping 192.168.2.20

Ping 192.168.2.20: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!

在R1的路由器上查看阻挡规则

[R1]dis acl all

 Total quantity of nonempty ACL number is 1

Basic ACL 2000, 1 rule

Acl's step is 5

 rule 5 deny source 192.168.1.2 0 (15 matches)//15个匹配

修改步长的方法，默认是5，现在修改步长是10.

[R1-acl-basic-2000]step 10

[R1-acl-basic-2000]dis this

[V200R003C00]

#

acl number 2000 

step 10  //步长变为10

rule 10 deny source 192.168.1.2 0

四、高级acl配置实战

1）、拓扑图

 实现AR1不能远程AR2（telnet）。

2)、远程配置

2.1）、AR2的配置

R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):fsm

R2-ui-vty0-4]user privilege level 3  //等级3

[R2-ui-vty0-4]idle-timeout 5  //不操作5分钟后信号中断。

   2.2）、AR1远程登录（因为AR2有两个地址192.168.3.2与192.168.2.1）

  telnet 192.168.3.2

  Press CTRL_] to quit telnet mode

  Trying 192.168.3.2 ...

  Connected to 192.168.3.2 ...

Login authentication

Password:

或者

telnet 192.168.2.1

  Press CTRL_] to quit telnet mode

  Trying 192.168.2.1 ...

  Connected to 192.168.2.1 ...

Login authentication

Password:

3)、高级acl配置

实现AR1不能远程AR2（telnet）。

3.1）R2配置

[R2]acl 3000

[R2-acl-adv-3000]rule 10 deny tcp source 192.168.1.254 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23

[R2-acl-adv-3000]quit

[R2]int g 0/0/0

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

   3.2）、R1测试（还是能远程访问，樊爸在此琢磨了好长时间，why???，难道是配置错了吗，经过仔细分析原来是R1有两个地址<192.168.1.254  192.168.3.1>，我们上面的acl高级规则仅仅限制了192.168.1.254，但是给192.168.3.1留了空子）。

  telnet 192.168.3.2

  Press CTRL_] to quit telnet mode

  Trying 192.168.3.2 ...

  Connected to 192.168.3.2 ...

Login authentication

Password:

 R2继续添加规则

[R2]acl 3000

[R2-acl-adv-3000]rule 15 deny tcp source 192.168.3.1 0.0.0.0 destination 192.168.3.2 0.0.0.0 destination-port eq 23

在R1上再次测试远程，已经很听话了。樊爸领悟，在学习中一定好多分析，遇到问题，多思考。

 telnet 192.168.3.2

 Press CTRL_] to quit telnet mode

 Trying 192.168.3.2 ...

 需要注意的事，这个例子我们限制的事telnet协议，但是不妨碍R1上的两个地址能ping通192.168.3.2测试如下：

R1>ping 192.168.3.2

  PING 192.168.3.2: 56  data bytes, press CTRL_C to break

    Reply from 192.168.3.2: bytes=56 Sequence=1 ttl=255 time=30 ms

    Reply from 192.168.3.2: bytes=56 Sequence=2 ttl=255 time=30 ms

    Reply from 192.168.3.2: bytes=56 Sequence=3 ttl=255 time=20 ms

    Reply from 192.168.3.2: bytes=56 Sequence=4 ttl=255 time=20 ms

    Reply from 192.168.3.2: bytes=56 Sequence=5 ttl=255 time=30 ms

  --- 192.168.3.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 20/26/30 ms