【零基础入门】ACL访问控制列表 _规则

访问控制列表（，ACL）是一种由一条或多条指令的集合，指令里面
可以是报文的源地址、目标地址、协议类型、端口号等，根据这些指令设备来判断哪些数据
接收，哪些数据需要拒绝接收。它类似于一种数据包过滤器。从而可以实现对网络访问行为
的控制、限制网络流量、提高网络性能、防止网络攻击等等。
如图：可以通过配置ACL来实现限制主机A、主机B访问互联网，限制主机C、主机D访问
服务器。
ACL结构
ACL是由一系列（允许）或deny（拒绝）语句组成的有序规则的列表，它单独是
无法使用的，需要应用在业务模块中才能生效，如在NAT中调用、在防火墙的策
略部署中被调用、在路由策略中被调用和用来通过流量过滤。
ACL组成如上图所示：
（1）访问控制列表编号：在配置ACL时，每个ACL都会分配一个编号，不同编
号代表不同的ACL；
（2）规则：一个ACL通常由一条或多条“/deny”语句组成，一条语句
就是一条规则；
（3）规则编号：每条规则都有一个相应的编号，用来标识ACL规则，可以由用
户指定；
（4）动作：代表允许，deny代表拒绝，用来给规则设定相应动作；
（5）匹配项：可以是源MAC地址、目的MAC，目的地址、协议类型等。
如：.1.1.00.0.0.255
代表：规则10允许源地址为1.1.1.0/24网段地址的报文通过。
ACL分类
1、基本ACL(2000-2999):用报文的源IP地址、分片时间和生效时间段来定义规
则。
2、高级ACL(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字
段。
3、二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二
层协议类型等二层信息制定规则。
4、用户自定义ACL（5000-5999）：使用报文头、偏移位置、字符串掩码、用户自定义字
符串来定义规则。
5、用户ACL（6000-6999）：可用IP报文的源/目标IP地址、IP协议类型、ICMP类型、端
口来定义规则；
ACL实验配置
实验拓扑：
一、使用基本ACL进行数据过滤
实验目的：
1、部署基本ACL实现数据过滤
2、实现PC1无法访问PC3
拓扑如图所示：
（1）在AR1上配置如下：
sys
[]
[AR1]intg0/0/0
[AR1-/0/0].168.1.25424//配置端口IP
[AR1-/0/0]intg0/0/1
[AR1-/0/1].168.3.124
[AR1]rip//使用动态路由协议RIP
[AR1-rip-1]//RIP版本为RIPv2
[AR1-rip-1].168.1.0//宣告192.168.1.0网段
[AR1-rip-1].168.3.0//宣告192.168.3.0网段
（2）在AR2上配置如下：
sys
[]
[]
[AR2]intg0/0/1
[AR2-/0/1].168.3.224
[AR2-/0/1]intg0/0/2
[AR2-/0/2].168.4.224

文章插图
[AR2-/0/1]intg0/0/0
[AR2-/0/0].168.2.25424
[AR2]rip
[AR2-rip-1]
[AR2-rip-1].168.2.0
[AR2-rip-1].168.3.0
[AR2-rip-1].168.4.0
（3）在AR3上配置如下：
[]intg0/0/0
[-/0/0].168.4.324
[-/0/0]intg0/0/1
[-/0/1].168.5.25424
[]rip
[-rip-1]
[-rip-1].168.4.0
[-rip-1].168.5.0
（4）在各PC上配置相关IP地址和网关
（5）测试PC1与PC3的连通性
（6）在AR3上配置ACL
[]//创建基本ACL，编号为2001
[-acl-basic-2000].168.1.10
//规则（默认为5）拒绝192.168.1.1IP地址访问
[-acl-basic-2000]intg0/0/1
[-/0/1]-0
//在端口g0/0/1上应用,设置在方向
（7）配置ACL后，测试PC1与PC3的连通性
在此我整理了一份资料，算是给能看到这里的朋友一个福利，包括常见网络故障排查方法文档，常见路由器交换机配置视频以及网工资料包。