ACL原理与配置_acl 一条策略多个端口

通过vlan，我们划分了广播域
通过单臂路由和三层交换机，我们实现了不同vlan之间的通信

ACL访问控制列表（Access Control List）

1、用来对数据包做访问控制（丢弃或通行）
2、结合其他协议（例：传输层的tcp、udp），ACL可以控制协议的流量能否通过

acl的作用
访问控制，决定流量能否通过，通过=放行；不通过=丢弃
主要配置在路由器上

ACL概述
1、acl可以配置多条策略
2、根据报文来进行匹配和区分
ACL组成编号默认从5开始，步长也为5
2000~2999为基本acl，只能匹配源IP地址
3000~3999为高级acl，可以匹配源IP地址、目标IP、源端口号、目标端口、三层（icmp）和四层（tcp、udp）的协议字段
4000~4999，根据数据包的源mac地址、目的mac地址，802.lq优先级、二层协议

基本acl，尽量用在靠近目的端口
例：
规则 允许 源 地址 写死
rule permit source 192.168.1.10 0

高级acl，尽量用在靠近源地址的地方，保护带宽（涉及协议的必须用高级acl，例：ping，http等）
例：
规则 允许 协议 源 地址 子网掩码
rule permit ip source 192.168.1.0 0.0.0.255

多条策略的匹配原则：
1、有则匹配，无则放行
2、匹配到第一条之后，后序相同的将不再进行匹配
一个接口只能配置一个acl，配置其他acl时必须先删除旧的

反掩码通配符：“0”表示严格匹配（不变），“1”表示随机分配（可变）
0.0.0.0 为固定IP地址
0.0.0.255 为固定网段

例：
192.168.233.0/24 20 22 23 24的反掩码
00000000.00000000.00000000.00010100
00000000.00000000.00000000.00010110
00000000.00000000.00000000.00010111
00000000.00000000.00000000.00011000
00000000.00000000.00000000.00001111=15
0.0.0.15

实验

一、仅允许PC1访问1921668.2.0/24网络（即仅允许PC1访问PC 3）
1.1添加设备，连接并启动

1.2 配置端口的网关地址，
创建基本acl 2000，按根据设置acl2000，
先允许指定的源地址通行，再拒绝所有源地址通行并配置给端口g0/0/0

1.3配置完成后，分别用PC1和PC2 ping PC3，
可以看到PC1成功，PC2超时，说明配置成功！

二、禁止192.168.1.0/24网段 ping Web服务器
2.1 创建高级acl 3000，按需求设置acl 3000
拒绝指定网段访问192.168.3.30，然后把acl 3000配置给端口g0/0/2

2.2 分别用PC1和Client ping Web服务器，
访问失败，说明配置成功

三、仅允许Client访问Web服务器的www服务
3.1 创建高级acl 3001，按要求配置 acl3001 ，
允许tcp协议的指定源地址访问192.168.3.30，然后将acl 3000配置给端口g0/0/1

3.2 通过http进行通信并对端口g0/0/1进行抓包