訪問控制列表ACL的用法

訪問控制列表是由一條或者多條規則（deny、permit）組成的集合，訪問控制列表經常被用來做過濾和標記這兩件事情，ACL可以分為基本ACL、高級ACL、二層ACL等。

基本ACL：匹配數據包的源地址

基本ACL

基本ACL的配置要點：1、關鍵字，用於指定規則。2、規則的序號，正常情況下規則從上往下匹配。3、規則的動作，丟棄或者允許符合規則的數據包。4、源，基本ACL只能匹配源。5、指定源地址。6、指定匹配的位數，換算成二進制的0表示精確匹配，1表示可以忽略。

高級ACL：可以多選擇匹配

高級ACL

高級ACL配置要點：1、關鍵字，指定規則。2，規則號。3、執行動作。4、指定協議。5、指定源。6、指定源地址。7、源地址位數，與源地址一起確定匹配的源。8、指定目的。9、指定目的地址。10、目的地址匹配位數，與目的地址一起確定匹配的目的。

ACL的作用：過濾數據包和抓取數據包

①ACL的過濾作用測試：

ACL過濾測試圖

如圖：需求中192.168.1網段的奇數地址只可以訪問100.100.100.4這臺設備，192.168.1網段的偶數地址只可以訪問100.100.100.5這臺設備，其餘的不能訪問

操作要求：在AR1上操作

分析：192.168.1網段。指定了網段，那麼前三個字節需精確匹配，第四字節的最後一位決定了匹配的是奇數還是偶數，最後一位為0匹配偶數地址，最後一位為1匹配奇數地址。只能訪問說明目的地址必須是精確全匹配。

配置步驟：

1、建立高級ACL：

acl number 3000

rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.4 0

rule 10 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.5 0

rule 100 deny ip

2、調用ACL（一般是在靠近源的地方調用）

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0

traffic-filter outbound acl 3000

調用時注意方向，設備往外發送叫做出方向，從外面進入設備叫做入方向。方向不一樣源和目的會有相應的變化。

測試結果及說明：

PC1測試結果及說明

PC1測試查看

說明：PC1地址192.168.1.1與100.100.100.4通信時，源192.168.1.1，目的100.100.100.4，當從設備G0/0/0口往外發出去時進行ACL的匹配，匹配中第一條之後便按照第一條的允許操作允許數據包通過，當匹配中之後ACL便不會再外下匹配。通過匹配數5可以看到通過的數據包的數量。

PC1與100.100.100.5通信時，源192.168.1.1，目的100.100.100.5，執行ACL規則匹配，第一條規則不匹配，然後往下繼續匹配，第二條規則中，最後一個字節的最後一位必須是0，而1的最後一位是1，所以不匹配，匹配到第三條被拒絕通過，所以不能通信。

PC2，偶數地址測試

ACL數據包計數

說明：PC2與100.100.100.4通信時，匹配第三條規則被拒絕，與100.100.100.5通信時匹配中第二條被放行。

PC3都不能通信

說明：PC3與100.100.100.4和100.100.100.5通信時，都匹配中第三條規則被拒絕。

②ACL用於標記作用測試：

ACL用於標記測試

需求：192.168.1網段的奇數地址只可以訪問100.100.100.4這臺設備，192.168.1網段的偶數地址只可以訪問100.100.100.5這臺設備，其餘的不能訪問

1、AR1上配置ACL，抓取數據流

acl number 3000

rule 5 permit ip source 192.168.1.1 0.0.0.254 destination 100.100.100.5 0

acl number 3001

rule 5 permit ip source 172.17.20.0 0.0.0.255

acl number 3002

rule 5 permit ip source 192.168.1.0 0.0.0.254 destination 100.100.100.4 0

2、配置流分類

traffic classifier test1 operator or

if-match acl 3002

traffic classifier test operator or

if-match acl 3000

traffic classifier test2 operator or

if-match acl 3001

3、配置流行為

traffic behavior test1

remark dscp cs7

traffic behavior test

remark dscp ef

traffic behavior test2

remark dscp cs6

4、配置流策略

traffic policy test

classifier test behavior test

classifier test1 behavior test1

classifier test2 behavior test2

5、出接口調用流策略

interface GigabitEthernet0/0/0

ip address 10.0.12.1 255.255.255.0

traffic-policy test outbound

AR2上的配置：

1、配置流分類，抓取DSCP值

traffic classifier test1 operator or

if-match dscp cs6

traffic classifier test operator or

if-match dscp ef

traffic classifier test2 operator or

if-match dscp cs7

2、配置流行為，拒絕訪問

traffic behavior deny

deny

3、配置流策略

traffic policy test

classifier test behavior deny

classifier test1 behavior deny

classifier test2 behavior deny

4、入接口調用流策略

interface GigabitEthernet0/0/0

ip address 10.0.12.2 255.255.255.0

traffic-policy test inbound

結果如下：

PC1

PC2

PC3

閱讀更多 netlab 的文章

關鍵字: 通信 這臺 網段