11.ACL

ACL

acl ：access control list 访问控制列表

acl 两种：

基本acl（2000-2999）：只能匹配源ip地址。

高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

acl 举例：拒绝PC1访问172.16.10.x 网段

R2：
acl number 2000                        #建立基本acl （表号2000）
  rule 5 deny source 192.168.10.1 0    #拒绝源地址为192.168.10.1 的任何数据包。 5为自动生成的执行序号,可省略。

int gi 0/0/0
  traffic-filter inbound acl 2000      #在接口的入方向调用acl

acl 举例：拒绝PC1 和PC2 ping server 1，但是允许其http 访问。

R2:
acl number 3000
   rule 5 deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

int gi 0/0/0
  traffic-filter inbound acl 3000

acl 举例：拒绝 PC2 telnet 访问12.1.1.2

R2:
acl number 3001
   rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet

int gi0/0/0
   traffic-filter inbound acl 3001

注意：

注1：一个接口的同一个方向，只能调用一个acl

注2：一个acl里面可以有多个rule 规则，从上往下依次执行

注3：数据包一旦被某rule匹配，就不再继续向下匹配

注4：默认隐含放过所有（华为的acl 用来拒绝数据包时）。

ACL 举例：

acl number 3005

拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文
 rule 5 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-port  eq ftp-data
 rule 10 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.2 0 destination-port eq ftp

允许源地址是1.1.1.0/24 的任何报文
 rule 15 permit ip source 1.1.1.0 0.0.0.255

拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping
 rule 20 deny icmp source 3.3.3.3 0 destination 7.7.7.7 0

拒绝任何telnet 的报文
 rule 25 deny tcp destination-port eq telnet

放过剩下的所有报文
 rule 30 permit ip