中小型网络构建-ACL

1、什么是ACL?

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。
2、ACL的工作作用：
ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。
例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。
3、执行过程
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语进行检句就将被忽略，不再查。
数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

1.当ACL中有多个条目的，在进行匹配数据包的时候，是按照每个条目的序列号-rule number 从小到大开始匹配的，一旦有一个条目匹配成功，后续的条目就不看了；ACL最后有一个看不见的，允许所有的 ACL 条目；1.在物理接口上，通过 traffic-filter in/out  acl XXX
2.在虚拟接口上(user-interface vty xxx ) --- 通过acl in/out acl XXX 调用的时候，默认动作是拒绝所有。

源IP地址 +  目标IP  + 传输层协议  + 源端口  + 目标端口192.168.1.3 -----> 192.168.23.3  :  ping  , NO
192.168.1.3 -----> 192.168.23.3  :  telnet , YES192.168.1.3 -----> 192.168.23.3  :  ping  , YES
192.168.1.3 -----> 192.168.23.3  :  telnet , NO综合部：192.168.1.0/24  ------> 192.168.2.1/24192.168.1.1/24  --- NO192.168.1.2/24  192.168.1.3/24  --- NO192.168.1.4/24192.168.1.5/24  --- NO192.168.1.6/24192.168.1.7/24  --- NO192.168.1.8/24acl 3000rule 10 deny icmp source 192.168.1.1 0.0.0.0destination 192.168.2.1 0.0.0.0rule 20 deny icmp source 192.168.1.3 0.0.0.0destination 192.168.2.1 0.0.0.0rule 30 deny icmp source 192.168.1.5 0.0.0.0destination 192.168.2.1 0.0.0.0rule 40 deny icmp source 192.168.1.7 0.0.0.0destination 192.168.2.1 0.0.0.0

    192.168.1.1--> 192.168.2.1          192.168.1.2--> 192.168.2.1192.168.1.3--> 192.168.2.1192.168.1.4--> 192.168.2.1192.168.1.5--> 192.168.2.1192.168.1.6--> 192.168.2.1192.168.1.255--> 192.168.2.1        

acl 3000

rule 10 deny icmp source 192.168.1.1 .............
destination 192.168.2.1 0.0.0.0

    192.168.1.1  0000 0001192.168.1.3  0000 0011192.168.1.5  0000 0101192.168.1.7  0000 0111

    公共部分：192.168.1.   0000 0XX1当我们使用一个 ACL 条目同时匹配多个地址的时候，我们需要做：1.  确定多个地址的“公共部分”# 相同的位，直接写；# 不同的位，变成0；         192.168.1.1     2. 确定与“公共部分”所对应的“通配符”   -通配符与公共IP地址，是一一对应的；#在通配符中，与公共IP地址中不变的位对应的位置，写0；#在通配符中，与公共IP地址中变的位对应的位置，写1；                 192.168.1.1  0.0.0.6~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`高级ACL调用在距离源特别近的地方；
基本ACL调用在距离目标特别近的地方；ACL类型：基本ACL ： 2000 ~ 2999高级ACL ： 3000 ~ 3999~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`ACL的作用： 控制流量的传输；（基本ACL与高级ACL）- 华为（标准ACL与扩展ACL）- 思科ACL 与 NAT 的配合使用：NAT -定义-作用-类型-配置在虚拟端口下配置ACL。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255源
[r3-ui-vty0-4]acl 2000 inbound1、什么是ACL?访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。
2、ACL的工作作用：
ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。
ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。
例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。
3、执行过程
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语进行检句就将被忽略，不再查。
数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。1.当ACL中有多个条目的，在进行匹配数据包的时候，是按照每个条目的序列号-rule number 从小到大开始匹配的，一旦有一个条目匹配成功，后续的条目就不看了；ACL最后有一个看不见的，允许所有的 ACL 条目；1.在物理接口上，通过 traffic-filter in/out  acl XXX2.在虚拟接口上(user-interface vty xxx ) --- 通过acl in/out acl XXX 调用的时候，默认动作是拒绝所有。

源IP地址 + 目标IP + 传输层协议 + 源端口 + 目标端口

192.168.1.3 -----> 192.168.23.3 : ping , NO
192.168.1.3 -----> 192.168.23.3 : telnet , YES

192.168.1.3 -----> 192.168.23.3 : ping , YES
192.168.1.3 -----> 192.168.23.3 : telnet , NO

综合部：192.168.1.0/24  ------> 192.168.2.1/24
192.168.1.1/24  --- NO
192.168.1.2/24
192.168.1.3/24  --- NO
192.168.1.4/24
192.168.1.5/24  --- NO
192.168.1.6/24
192.168.1.7/24  --- NO
192.168.1.8/24

acl 3000
rule 10 deny icmp source 192.168.1.1 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 20 deny icmp source 192.168.1.3 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 30 deny icmp source 192.168.1.5 0.0.0.0
destination 192.168.2.1 0.0.0.0
rule 40 deny icmp source 192.168.1.7 0.0.0.0
destination 192.168.2.1 0.0.0.0

        192.168.1.1--> 192.168.2.1          192.168.1.2--> 192.168.2.1192.168.1.3--> 192.168.2.1192.168.1.4--> 192.168.2.1192.168.1.5--> 192.168.2.1192.168.1.6--> 192.168.2.1192.168.1.255--> 192.168.2.1        acl 3000rule 10 deny icmp source 192.168.1.1  .............destination 192.168.2.1 0.0.0.0               192.168.1.1  0000 0001192.168.1.3  0000 0011192.168.1.5  0000 0101192.168.1.7  0000 0111

公共部分：192.168.1.   0000 0XX1当我们使用一个 ACL 条目同时匹配多个地址的时候，
我们需要做：1.  确定多个地址的“公共部分”# 相同的位，直接写；# 不同的位，变成0；         192.168.1.1
2. 确定与“公共部分”所对应的“通配符”   -通配符与公共IP地址，是一一对应的；#在通配符中，与公共IP地址中不变的位对应的位置，写0；#在通配符中，与公共IP地址中变的位对应的位置，写1；                 192.168.1.1  0.0.0.6

~~~~~~~~~~`

高级ACL调用在距离源特别近的地方；
基本ACL调用在距离目标特别近的地方；

ACL类型：
基本ACL ： 2000 ~ 2999
高级ACL ： 3000 ~ 3999

~~~~~~~~~~~~~`

ACL的作用：
控制流量的传输；
（基本ACL与高级ACL）- 华为
（标准ACL与扩展ACL）- 思科

ACL 与 NAT 的配合使用：

 NAT -定义-作用-类型-配置

在虚拟端口下配置ACL。
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
源
[r3-ui-vty0-4]acl 2000 inbound