访问控制列表ACL,定义一系列不同的规则(permit或者deny),实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等。
每个ACL可以包含多个规则,华为ACL默认是允许所有流量通过,但是思科是拒绝所有流量通过。
ACL规则中的通配符掩码的0代表不允许变化,1代表忽略(即无所谓,任意变化)
- 分类
1.1 基本ACL
2000-2999,匹配源IP地址
1.2 高级ACL
3000-3999,匹配源IP地址、目的IP地址、源端口、目的端口
1.3 二层ACL
4000-4999,匹配源Mac、目的Mac、以太帧协议类型
# 查看所有的规则
dis acl all
# 对AR1接口g0/0/2应用ACL2001
acl 2001
rule deny source 10.1.1.250 0
q
int g0/0/2
traffic-filter inbound acl 2001
# 在AR3上使用ping 10.1.1.254验证,发现已经无法ping通
# 在pc5上使用ping 10.1.1.254验证,发现可以ping通
# 高级ACL配置
acl 3000
# 不允许局域网192.168.1.0/24内所有主机访问主机172.16.10.1的21/tcp端口(FTP)
rule deny tcp source 192.168.1.0 0.0.255 destination 172.16.10.1 0 destination-port eq 21
# 不允许局域网192.168.2.0/24内所有主机访问主机172.16.10.2
rule deny tcp source 192.168.2.0 0.0.255 destination 172.16.10.2 0
rule permit ip # 高级规则需要显示配置所有流量通过,基本规则则是默认所有流量通过