ACL 基本原理与实验

一，ACL  产生前景

基于vlan 分割广播域，可以提高安全性，但是三层交换与单臂路由，让不同vlan下的计算机也可以互相访问，需要一个新的技术工具

二，实现办法

在路由器，新建一个ACL表，通过ip地址精确控制流量  （允许，或者拒绝某一段流量）

三，ACL组成

四，ACL分类

基本ACL编号2000到2999

只能限制源ip地址      （某一个ip或者网段）

高级ACL编号：3000到3999    （用的最多）

可以控制源、目的IP，源、目的端口、协议号匹配数据

二层ACL

可以控制MAC、VLAN-id、802.1q

五，ACL(访问控制列表)的应用原则

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

六，匹配规则

1、一个接口的同一个方向，只能调用一个acl

2、一个acl里面可以有多个rule 规则，按照规则ID从小到大排序，从上往下依次执行

3、数据包一旦被某rule匹配，就不再继续向下匹配

              2,3举例

  rule 1 deny source 192.168.12.1   0.0.0.255

   rule 2 permi source 192.168.12.1   0.0.0.0.0

比如  192.168.12.1   先匹配rule1  就立即执行

所以在设置rule的时候，最好把范围小的放在前面

七，在接口下调用acl 分为两个方向

inbound方向--------当接口收到数据包时执行ACL

outbound方向-------当设备从特定接口向外发送数据时执行ACL

八，通配符掩码    子网掩码   反掩码

（一）子网掩码

： 连续的1 代表网络位

255.255.255.0

11111111.11111111.11111111.00000000

（二）反掩码

： 连续的0  代表网络位

00000000.00000000.00000000.11111111

（三）通配符掩码

可以 0,1 穿插    0代表不可变   1代表可变

例题1

解答：0.0.0.0 就是都不能变  A匹配上了

          0.255.0.0   =====0. 1111   1111   .0  .0   就是标红部分可以任意变化  匹配D

例题2,  

看下面哪个ip是匹配的

解答：0.0.254.255  就是前两位不变  ，最后一位随便变，这边排除不掉

          254  变成二进制就是 1111  11110     就是这8个二进制最后一位不能变

           把10.1.11.0   中的11 也换成二进制  就是  0000  1010

           就是 0000  1010   前7个可以任意变化，最后一位0  不能动，2^0是1，

           所以 10.1.11.0   这个11 可以是任意奇数

            此题答案ACD

例题3

上述ip的通配符

十进制最后一个有变化，所以通配符前三位肯定是0.0.0.X

1  转2进制是 0000 0001

63 转2进制是 0011  1111    

可以发现8位  2进制数中，前两位不变，后6位可变   因此通配符是0011 111111  转十进制63

答案是  0.0.0.63

九，ACL  演练

(一)基本ACL  演练

1，搭建实验环境，目前主机A，B都可以访问服务器C

要求： 过滤掉主机A访问服务器C   www流量

2，acl 2000   新建一个序号为2000的基本acl

3,rule 5(可以不写，这是编号)  deny  / permi     source    网段或者ip地址   通配符掩码

注意  

序号可以不写，默认为5,10 ，15 :::::::::::: 逐渐加5    方便加新的rule

4，dis th 查看  

5，此时还是能ping通的，因为要把ACL表放到接口里才会生效。要放在AR1 的  g1口   而不是g0口。因为

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

如果放在g0 口，那他连服务器D也访问不了了，基本ACL只是粗糙的流量过滤

命令：进接口1   traffic-filter outbound acl 2000

                           流量 匹配    出口       启用 ACL2000表 里面的规则

6，此时主机A  只能ping服务器D，不能ping服务器C

(二)高级ACL  演练

1，还是基于上述环境，服务器启用http/80  和ftp21

2,此时主机A 可以访问服务器 http/80    即上网   ftp/21 即传输文件

3，acl 3000   新建一个序号为3000的高级acl

4,rule deny tcp source 192.168.1.1 0  destination 192.168.2.1 0 destination-port eq 80

               http基于tcp                            目的                                           端口         等于

不让192.168.1.1  去访问192.168.2.1 的tcp 80 端口 （www  web 服务）

5，应用到端口g0 口

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

进 接口g0      traffic-filter inbound acl 2000

6,此时主机A 不可以访问服务器 http/80    即上网           可以ftp/21 即传输文件