访问控制列表ACL的用法

访问控制列表是由一条或者多条规则（deny、permit）组成的集合，访问控制列表经常被用来做过滤和标记这两件事情，ACL可以分为基本ACL、高级ACL、二层ACL等。

基本ACL：匹配数据包的源地址

基本ACL

基本ACL的配置要点：1、关键字，用于指定规则。2、规则的序号，正常情况下规则从上往下匹配。3、规则的动作，丢弃或者允许符合规则的数据包。4、源，基本ACL只能匹配源。5、指定源地址。6、指定匹配的位数，换算成二进制的0表示精确匹配，1表示可以忽略。

高级ACL：可以多选择匹配

高级ACL

高级ACL配置要点：1、关键字，指定规则。2，规则号。3、执行动作。4、指定协议。5、指定源。6、指定源地址。7、源地址位数，与源地址一起确定匹配的源。8、指定目的。9、指定目的地址。10、目的地址匹配位数，与目的地址一起确定匹配的目的。

ACL的作用：过滤数据包和抓取数据包

①ACL的过滤作用测试：

ACL过滤测试图

如图：需求中192.168.1网段的奇数地址只可以访问100.100.100.4这台设备，192.168.1网段的偶数地址只可以访问100.100.100.5这台设备，其余的不能访问

操作要求：在AR1上操作

分析：192.168.1网段。指定了网段，那么前三个字节需精确匹配，第四字节的最后一位决定了匹配的是奇数还是偶数，最后一位为0匹配偶数地址，最后一位为1匹配奇数地址。只能访问说明目的地址必须是精确全匹配。

配置步骤：

1、建立高级ACL：

acl number 3000

rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.4 0

rule 10 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.5 0

rule 100 deny ip

2、调用ACL（一般是在靠近源的地方调用）

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0

traffic-filter outbound acl 3000

调用时注意方向，设备往外发送叫做出方向，从外面进入设备叫做入方向。方向不一样源和目的会有相应的变化。

测试结果及说明：

PC1测试结果及说明

PC1测试查看

说明：PC1地址192.168.1.1与100.100.100.4通信时，源192.168.1.1，目的100.100.100.4，当从设备G0/0/0口往外发出去时进行ACL的匹配，匹配中第一条之后便按照第一条的允许操作允许数据包通过，当匹配中之后ACL便不会再外下匹配。通过匹配数5可以看到通过的数据包的数量。

PC1与100.100.100.5通信时，源192.168.1.1，目的100.100.100.5，执行ACL规则匹配，第一条规则不匹配，然后往下继续匹配，第二条规则中，最后一个字节的最后一位必须是0，而1的最后一位是1，所以不匹配，匹配到第三条被拒绝通过，所以不能通信。

PC2，偶数地址测试

ACL数据包计数

说明：PC2与100.100.100.4通信时，匹配第三条规则被拒绝，与100.100.100.5通信时匹配中第二条被放行。

PC3都不能通信

说明：PC3与100.100.100.4和100.100.100.5通信时，都匹配中第三条规则被拒绝。

②ACL用于标记作用测试：

ACL用于标记测试

需求：192.168.1网段的奇数地址只可以访问100.100.100.4这台设备，192.168.1网段的偶数地址只可以访问100.100.100.5这台设备，其余的不能访问

1、AR1上配置ACL，抓取数据流

acl number 3000

rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.5 0

acl number 3001

rule 5 permit ip source 172.17.20.0 0.0.0.255

acl number 3002

rule 5 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.4 0

2、配置流分类

traffic classifier test1 operator or

if-match acl 3002

traffic classifier test operator or

if-match acl 3000

traffic classifier test2 operator or

if-match acl 3001

3、配置流行为

traffic behavior test1

remark dscp cs7

traffic behavior test

remark dscp ef

traffic behavior test2

remark dscp cs6

4、配置流策略

traffic policy test

classifier test behavior test

classifier test1 behavior test1

classifier test2 behavior test2

5、出接口调用流策略

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0

traffic-policy test outbound

AR2上的配置：

1、配置流分类，抓取DSCP值

traffic classifier test1 operator or

if-match dscp cs6

traffic classifier test operator or

if-match dscp ef

traffic classifier test2 operator or

if-match dscp cs7

2、配置流行为，拒绝访问

traffic behavior deny

deny

3、配置流策略

traffic policy test

classifier test behavior deny

classifier test1 behavior deny

classifier test2 behavior deny

4、入接口调用流策略

interface GigabitEthernet0/0/0

ip address 10.0.12.2 255.255.255.0

traffic-policy test inbound

结果如下：

PC1

PC2

PC3

閱讀更多 netlab 的文章

關鍵字: 访问 通信 这台