目录

前言

一、ACL概述

二、ACL的组成

三、通配符

四、ACL的分类与标识

 五、ACL的基础配置及应用

前言

网络飞速发展，网络业务变得越来越普及，人们已经不满足于仅仅能通信的目的，人们对网络安全与网络服务质量的要求也变得越来越高，于是诞生了（ACL，Access control list,访问控制列表），可以配合其他知识做到控制网络访问行为，防止网络攻击和提高网络带宽利用率的效果

一、ACL概述

ACL是由一系列permit或deny语句组成的，有序规则的列表

ACL只是一个匹配工具，它能够对报文进行抓取和区分

个人理解就是acl是一个只进行区分和抓取报文工作的协议/工具，acl抓取指定报文后存放起来，然后工作就完成了 其他协议或工具再进行更加高级细致的操作，例如Trafic-filter NAT等等

二、ACL的组成

 •ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

规则编号

步长的作用是 什么？ 直接 rule 1/2/3/4 … 为什么不可以？

如果是直接1/2/3/4的话假如让你插入一个3，这时你该怎末办，只能删除3/4，添加3，然后再把之前的3/4改为4/5，但是步长为5的话，直接插入就好了，反正中间有空隙

设置步长也是为了方便后续在旧规则之间插入新的规则

三、通配符

 注：通配符是一个32比特长度的数值，用于指示IP地址中，哪些比特位需要严格匹配，哪些比特位无需匹配。通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

“0“代表的是匹配（不可变） ”1“代表是随机匹配（可以变化）

注意：一般没有那么难

四、ACL的分类与标识

 注：基本的ACL只可以根据源IP地址进行区分

用户在创建ACL时可以为其指定编号，不同的编号对应不同类型的ACL。同时，为了便于记忆和识别，用户还可以创建命名型ACL，即在创建ACL时为其设置名称。命名型ACL，也可以是“名称 数字”的形式，即在定义命名型ACL时，同时指定ACL编号。如果不指定编号，系统则会自动为其分配一个数字型ACL的编号。

•基本ACL：

▫主要针对IP报文的源IP地址进行匹配，基本ACL的编号范围是2000-2999。比如这个例子，创建的是acl 2000，就意味着创建的是基本ACL

•高级ACL：

▫可以根据IP报文中的源IP地址、目的IP地址、协议类型，TCP或UDP的源目端口号等元素进行匹配，可以理解为：基本ACL是高级ACL的一个子集，高级ACL可以比基本ACL定义出更精确、更复杂、更灵活的规则。

注：

ACL的规则编号越小越容易被匹配，在匹配时先从最小的开始匹配，一但匹配到合适的就结束匹配，所以对同一IP进行截流时的两条不同命令编号小的生效

不在ACL内通过的表，默认为deny

ACL技术总是与其他技术结合在一起使用的，因此，所结合的技术不同，“允许 (permit)”及“拒绝 (deny)”的内涵和作用也会不同。例如，当ACL技术与流量过滤技术结合使用时，permit就是“允许通行”的意思，deny就是“拒绝通行”的意思。

一定要注意配置的位置，位置分入站和出战（应在合适位置，不固定）

 五、ACL的基础配置及应用

1.创建基本ACL（2000~2999）

[Huawei] acl [ number ] acl-number [ match-order config ]

使用名称创建一个命名型的基本ACL，并进入基本ACL视图。

[Huawei] acl name acl-name { basic | acl-number } [ match-order config ]

2.配置ACL的规则

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | time-range time-name ] 

实例

配置需求：

在Router上部署基本ACL后，ACL将试图穿越Router的源地址为192.168.1.0/24网段的数据包过滤掉，并放行其他流量，从而禁止192.168.1.0/24网段的用户访问Router右侧的服务器网络 

1.先完成路由器和IP地址相关配置

2.在router上创建并禁止192.168.1.0 24网段访问服务器网络

[Router] acl 2000
[Router-acl-basic-2000] rule deny source 192.168.1.0  0.0.0.255
[Router-acl-basic-2000] rule permit source any 

 3.因为在router处就需要过滤192.168.1.0/24网段，所以应该在router g 0/0/1处配置acl进行拦截

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 2000
[Router-GigabitEthernet0/0/1] quit