ACL的定义:
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如 IP、IPX、AppleTalk等。
简单的说,ACL是一个列表,列表中有规则rule,通过这些规则从而定义了哪些流量可以通过,哪些流量被pass掉了。具体来说呢ACL可以用数字命名(ACL number),其中number的取值范围也是有规定的:
2000~2999:基本IPv4 ACL;
3000~3999:高级IPv4 ACL;
4000~4999:二层ACL;
而ACL name是指定ACL的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
ACL的配置思路:
基本ACL (2000-2999)
----仅仅管制IP头部中的 source-ip;
1、确保原有数据的连同性(基于现网的需求)
在没有实施ACL之前,PC-1与PC-2之间是互通的
2、查看设备上已经存在的ACL
[R1] display acl 2000/all
3、创建ACL
[R1] acl 2000
[R1-acl-basic-2000] rule [id] deny source [IP Address] 0.0.0.0
4、调用ACL
[R1] interface gi0/0/0
[R1-gi0/0/0] tranffic-filter inbound acl 2000
5、验证、测试、保存
display acl 2000
ping x.x.x.x
save
删除ACL:
1、正确的删除方法:
#首先接触ACL调用关系
Interface Gi0/0/0
undo tranffic-filter inbound
display this
#其次删除ACL条目本身
undo acl 2000
#验证最后删除的结果
display acl 2000
注意:1、同一个端口的,同一个方向,只能有一个ACL被调用
2、如果想更改端口上调用的ACL,必须先删除 端口上调用的ACL命令
然后重新调用一个新的ACL。
3、端口上的ACL,不允许覆盖。
4、华为中的ACL,没有匹配住的流量,默认是允许的
4、基本ACL/标准ACL,强烈建议调用在‘距离目标地址’最近的地方
5、 rule [id默认为5] 下一次递增为10 步调长度 5
在全网互通的情况下要求PC4与PC5与全网主机互通,与其他流量全不通。如图:
1、创建ACL
[R2]acl name Only-PC4-5 advance
[R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.30.1
[R2-acl-adv-Only-PC4-5] rule permit ip source 192.168.20.1
[R2-acl-adv-Only-PC4-5] rule 100 deny ip
2、调用ACL
[R2]interface gi0/0/0
[R2-gi0/0/0]traffic-filter inbound acl Only-PC4-5
3、验证、测试、保存
display acl Only-PC4-5
display traffic-filter applied-record
ping x.x.x.x
在R1上也创建ACL在Gi0/0/0口上调用ACL就可以实现其他流量不通,PC4和PC5与全网互通。
以上就是本人对ACL的见解,希望能帮助到您。
转载于:https://blog.51cto.com/13568842/2061264