转载至：https://www.csdn.net/tags/MtjaQg2sODExOTctYmxvZwO0O0OO0O0O.html

ACL（access control list）

---

定义：由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类，并对不同类型的报文进行不同的处理。

分类：

         1、基本ACL，编号范围2000~2999，通过源ip进行匹配；

         2、高级ACL，编号范围3000~3999，可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文；

         3、高级ACL，编号范围4000~4999，可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文；

ACL规则：由运行permit和拒绝deny这样的逻辑构成一条条规则，一个ACL可以有多条规则，多条规则的优先级不同，一个接口的一个方向只能调用一个ACL；

匹配规则：

         1、配置顺序，按ACL规则编号（rule-id）从小到大的顺序迚行匹配，默认写的第一条规则的编号为5，ARG3系列路由器默认规则编号的步长是5，故下一跳规则的编号为10；

         2、自劢排序，使用“深度优先”的原则进行匹配，即根据规则的精确度排序；

案例解析：下图的PC、路由表已配置好，PC相互都可以通信。

例子1：在R2配置基本ACL，使得PC1访问不了172.16.10.0的网络。

1. acl 2000：进入R2，进入一个编号2000的acl；
2. rule deny source 192.168.10.1 0：创建规则，拒接192.168.10.1这这个IP访问，0是反掩码，精确匹配，会自动生成序号5；
3. display this：查看配置；
4. undo rule 5：删除序号为5的规则；
5. int gi 0/0/0；进入指定端口；
6. traffic-filter inbound acl 2000：在接口的入方向调用acl，出方向是outbound；
7. undo traffic-filter inbound：最后测试完成后，将接口的acl配置取消；

例子2：在R2上配置高级ACL，拒绝PC1、PC2ping通PC4，但是允许其http访问PC4.

1. acl 3000：进入编码3000的高级acl；
2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0：自定规则，拒绝ip网络位为192.168.10的ICMP协议的数据到172.16.10.0主机上；
3. int gi 0/0/1；
4. traffic-filter outbound acl 3000：在接口的出方向调用acl3000；

下面使用http请求，可以看到返回状态码是200，表示访问成功。

 

 

例子3：拒接PC1telnet访问PC4.

1. acl 3000；
2. rule deny tcp source 192.168.10.1 0 destination 172.16.10.2 0 destination-port eq telnet ：拒绝192.168.10.1的telnet访问172.16.10.2主机

转载至：https://www.csdn.net/tags/MtjaQg2sODExOTctYmxvZwO0O0OO0O0O.html