企業(yè)網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信時(shí)，需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能穩(wěn)定。

訪問控制列表ACL（Access Control List）可以定義一系列不同的規(guī)則，設(shè)備根據(jù)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類，并針對(duì)不同類型的報(bào)文進(jìn)行不同的處理，從而可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問行為的控制、限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能、防止網(wǎng)絡(luò)攻擊等。

一、ACL應(yīng)用場(chǎng)景

ACL可以通過定義規(guī)則來允許或拒絕流量的通過

二、ACL分類

1、一個(gè)ACL可以由多條“deny | permit”語句組成，每一條語句描述了一條規(guī)則。

2、設(shè)備收到數(shù)據(jù)流量后，會(huì)逐條匹配ACL規(guī)則，看其是否匹配。如果不匹配，則匹配下一條。一旦匹配，則執(zhí)行規(guī)則中定義的動(dòng)作，并不再繼續(xù)與后續(xù)規(guī)則進(jìn)行匹配。如果找不到匹配的規(guī)則，則設(shè)備不對(duì)報(bào)文進(jìn)行任何處理。

3、規(guī)則的匹配順序決定了規(guī)則的優(yōu)先級(jí)，ACL通過設(shè)置規(guī)則的優(yōu)先級(jí)來處理規(guī)則之間重復(fù)或矛盾的情形。

4、ARG3系列路由器支持兩種匹配順序：配置順序和自動(dòng)排序。配置順序按ACL規(guī)則編號(hào)（rule-id）從小到大的順序進(jìn)行匹配。通過設(shè)置步長(zhǎng)，使規(guī)則之間留有一定的空間。默認(rèn)步長(zhǎng)是5。路由器匹配規(guī)則時(shí)默認(rèn)采用配置順序。自動(dòng)排序使用“深度優(yōu)先”的原則進(jìn)行匹配，即根據(jù)規(guī)則的精確度排序。

通配符掩碼：

0 ---表示匹配

1 ---表示忽略

A

CL 用于匹配流量默認(rèn)隱含一條permit any， 用于匹配路由默認(rèn)隱含一條deny any

三、ACL配置

基本ACL： 針對(duì)源地址，靠近目的端配置

AR2進(jìn)行配置：

[AR2]interface GigabitEt

hernet 0/0/1

[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

PC1可以訪問服務(wù)器

192.168.2.0網(wǎng)段無法訪問服務(wù)器

高級(jí)ACL： 一般靠近源端

[AR1]acl number 3000

[AR1-acl-adv-3000]rule 10 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.100 0

[AR1-acl-adv-3000]int g 0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter outbound acl 3000

[AR1]acl number 3000

[AR1-acl-adv-3000] rule 20 deny tcp source 192.168.2.1 0 destination-port eq ftp

ACL配置成功拒絕訪問FTP服務(wù)。

關(guān)注分享該WX Gongzhonghao：華億網(wǎng)絡(luò)實(shí)驗(yàn)室? 或 huayinetwork，

持續(xù)分享干貨網(wǎng)絡(luò)技術(shù)，每天10份學(xué)習(xí)資料下載~