華為acl訪問(wèn)控制列表實(shí)例

　　ACL是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包，告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕，保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。下面是學(xué)習(xí)啦小編給大家整理的一些有關(guān)華為acl訪問(wèn)控制列表配置，希望對(duì)大家有幫助!

　　華為acl訪問(wèn)控制列表配置

　　訪問(wèn)控制列表：

　　ACL:

　　(accesscontrollist)

　　適用所有的路由協(xié)議：IP,IPX,AppleTalk

　　控制列表分為兩種類型：

　　1.標(biāo)準(zhǔn)訪問(wèn)控制列表：檢查被路由數(shù)據(jù)包的源地址、1~99代表號(hào)

　　2.擴(kuò)展訪問(wèn)控制列表：對(duì)數(shù)據(jù)包的源地址與目標(biāo)地址進(jìn)行檢查。

　　訪問(wèn)控制列表最常見(jiàn)的用途是作為數(shù)據(jù)包的過(guò)濾器。

　　其他用途;可指定某種類型的數(shù)據(jù)包的優(yōu)先級(jí)，以對(duì)某些數(shù)據(jù)包優(yōu)先處理

　　識(shí)別觸發(fā)按需撥號(hào)路由(DDR)的相關(guān)通信量

　　路由映射的基本組成部分

　　ACL能夠用來(lái)：

　　提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段

　　訪問(wèn)控制列表可用于Qos(QualityofService,服務(wù)質(zhì)量)對(duì)數(shù)據(jù)流量進(jìn)行控制。

　　可指定某種類型的數(shù)據(jù)包的優(yōu)先級(jí)，以對(duì)某些數(shù)據(jù)包優(yōu)先處理起到了限制網(wǎng)絡(luò)流量，減少網(wǎng)絡(luò)擁塞

　　的作用

　　提供對(duì)通信流量的控制手段

　　訪問(wèn)控制列表對(duì)本身產(chǎn)生的的數(shù)據(jù)包不起作用，如一些路由更新消息

　　路由器對(duì)訪問(wèn)控制列表的處理過(guò)程：

　　(1)如果接口上沒(méi)有ACL，就對(duì)這個(gè)數(shù)據(jù)包繼續(xù)進(jìn)行常規(guī)處理

　　(2)如果對(duì)接口應(yīng)用了訪問(wèn)控制列表，與該接口相關(guān)的一系列訪問(wèn)控制列表語(yǔ)句組合將會(huì)檢測(cè)它：

　　*若第一條不匹配，則依次往下進(jìn)行判斷，直到有一條語(yǔ)句匹配，則不再繼續(xù)判斷。

　　路由器將決定該數(shù)據(jù)包允許通過(guò)或拒絕通過(guò)

　　*若最后沒(méi)有任一語(yǔ)句匹配，則路由器根據(jù)默認(rèn)處理方式丟棄該數(shù)據(jù)包。

　　*基于ACL的測(cè)試條件，數(shù)據(jù)包要么被允許，要么被拒絕。

　　(3)訪問(wèn)控制列表的出與入，

　　使用命令ipaccess-group，可以把訪問(wèn)控制列表應(yīng)用到某一個(gè)接口上。

　　in或out指明訪問(wèn)控制列表是對(duì)近來(lái)的，還是對(duì)出去的數(shù)據(jù)包進(jìn)行控制

　　【在接口的一個(gè)方向上，只能應(yīng)用1個(gè)access-list】

　　路由器對(duì)進(jìn)入的數(shù)據(jù)包先檢查入訪問(wèn)控制列表，對(duì)允許傳輸?shù)臄?shù)據(jù)包才查詢路由表

　　而對(duì)于外出的數(shù)據(jù)包先檢查路由表，確定目標(biāo)接口后才檢查看出訪問(wèn)控制列表

　　======================================================================

　　應(yīng)該盡量把放問(wèn)控制列表應(yīng)用到入站接口，因?yàn)樗葢?yīng)用到出站接口的效率更高：

　　將要丟棄的數(shù)據(jù)包在路由器驚醒了路由表查詢處理之前就拒絕它

　　(4)訪問(wèn)控制列表中的deny和permit

　　全局access-list命令的通用形式：

　　Router(config)#access-listaccess-list-number{permit|deny}{testconditions}

　　這里的語(yǔ)句通過(guò)訪問(wèn)列表表號(hào)來(lái)識(shí)別訪問(wèn)控制列表。此號(hào)還指明了訪問(wèn)列表的類別。

　　1.創(chuàng)建訪問(wèn)控制列表

　　access-list1deny172.16.4.130.0.0.0(標(biāo)準(zhǔn)的訪問(wèn)控制列表)

　　access-list1permit172.16.0.00.0.255.255(允許網(wǎng)絡(luò)172.16.0.0)的所有流量通過(guò)

　　access-list1permit0.0.0.0255.255.255.255(允許任何流量通過(guò)，如過(guò)沒(méi)有只允許172.16.0.0

　　的流量通過(guò))

　　2.應(yīng)用到接口E0的出口方向上：

　　interfacefastehernet0/0

　　ipaccess-group1out(把ACL綁定到接口)

　　刪除一個(gè)訪問(wèn)控制列表，首先在接口模式下輸入命令：

　　noipaccess-group

　　然后在全局模式下輸入命令

　　noaccess-list

　　并帶上它的全部參數(shù)

　　?〖訪問(wèn)控制列表的通配符〗

　　0.0.0.0255.255.255.255=====any

　　Router(config)#access-list1permit172.30.16.290.0.0.0

　　======Router(config)#access-list1permithost172.30.16.29

　　+++++++++++++++++++++++++++++==

　　訪問(wèn)控制列表的種類

　　+++++++++++++++++++++++++++

　　標(biāo)準(zhǔn)IP訪問(wèn)列表只對(duì)源IP地址進(jìn)行過(guò)濾。

　　擴(kuò)展訪問(wèn)控制列表不僅過(guò)濾源IP地址，還可以對(duì)目的IP地址、源端口、目的端口進(jìn)行過(guò)濾

　　盡量把擴(kuò)展ACL應(yīng)用在距離要拒絕通信流量的來(lái)源最近的地方，以減少不必要的通信流量。

　　最好把標(biāo)準(zhǔn)的ACL應(yīng)用在離目的地最近的地方

　　標(biāo)準(zhǔn)的ACL根據(jù)數(shù)據(jù)包的源IP地址來(lái)允許或拒絕數(shù)據(jù)包。

　　當(dāng)配置訪問(wèn)控制列表時(shí)，順序很重要。

　　標(biāo)準(zhǔn)訪問(wèn)控制列表的應(yīng)用與配置

　　擴(kuò)展ACL中，命令access-list的完全語(yǔ)法格式如下：

　　Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-

　　wildcarddestinationdestination-wildcard]

　　[operatoroperan][established][log]

　　access-list-number訪問(wèn)控制列表表號(hào)100~199

　　permit|deny表示在滿足測(cè)試條件的情況下，該入口是允許還是拒絕后面指定地址的通信流量

　　protocol用來(lái)指定協(xié)議類型，如IP\TCP\UDP\ICMP\GRE\IGRP

　　sourcedestination源和目的，分別用來(lái)標(biāo)識(shí)源地址和目的地址

　　source-wildcard、destination-wildcard---反碼

　　operatoroperan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一個(gè)端口號(hào)

　　esablished------如果數(shù)據(jù)包使用一個(gè)已建立連接。便可以允許Tcp信息量通過(guò)

　　例如:

　　拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過(guò)E0

　　1.創(chuàng)建ACL

　　Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21

　　Router(config)#access-list101permitipanyany

　　2.應(yīng)用到接口上

　　Router(config)#interfacefastethernet0/0

　　Router(config-if)#ipaccess-group101out

　　拒絕來(lái)自指定子網(wǎng)的Telnet通信流量

　　Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23

　　Router(config)#access-list101permitipanyany

　　應(yīng)用到接口:

　　Router(config)#interfacefastethernet0/0

　　Router(config-if)#ipaccess-group101out

　　命名訪問(wèn)控制列表

　　可以使用一個(gè)字母數(shù)字組合的字符代替前面所使用的數(shù)字來(lái)表示ACL,稱為命名ACL

　　可以在下列情況下使用命名ACL

　　需要通過(guò)一個(gè)字母數(shù)字串組成的名字來(lái)直觀的表示特定的ACL

　　對(duì)于某一方面給定的協(xié)議,在同一路由器上,有超過(guò)99個(gè)的標(biāo)準(zhǔn)ACL或者有超過(guò)100個(gè)的擴(kuò)展ACL需要配置

　　命名ACL時(shí),應(yīng)該注意

　　IOS11.2以前的版本不支持命名ACL

　　不能用同一個(gè)名字命名多個(gè)ACL.另外.不同類型的ACL命名不能使用相同的名字.

　　命名IP訪問(wèn)列表允許制定的訪問(wèn)列表刪除單個(gè)條目.

　　給ACL命名的命令語(yǔ)法如下:

　　Router(config)#ipaccess-list{standard|extended}name

　　命名訪問(wèn)控制列表下，permit和deny命令的語(yǔ)法格式與前述的有所不同：

　　Router(config{std|ext}-nacl)#{permit|deny}{source[source-wildcarcd]|any}{test

　　conditions}[log]

　　刪除時(shí)命令前面加no

　　例如

　　拒絕通過(guò)E0口從172.16.4.0到172.16.3.0的telnet通信流量而允許其他的通信流量

　　(1)創(chuàng)建名為jie的命名訪問(wèn)控制列表

　　Router(config)#ipaccess-listextendedcisco

　　(2)指定一個(gè)或多個(gè)Permit及deny條件

　　Router(config-ext-nacl)#denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23

　　Router(config-ext-nacl)#permitipanyany

　　(3)應(yīng)用到接口E0的出方向

　　Router(config)#interfacefastethernet0/0

　　Rouer(config-if)#ipaccess-groupjieout

　　(4)查看ACL列表

　　showipinterface

　　(5)顯示所有Acl的內(nèi)容。

　　showaccess-list

看了“華為acl訪問(wèn)控制列表實(shí)例”的人還看了

1.ACL功能和分類詳細(xì)介紹

2.Linux如何利用訪問(wèn)控制列表來(lái)限制用戶權(quán)限

3.為什么使用訪問(wèn)控制列表

4.華為交換機(jī)配置命令有哪些

5.怎么使用序列號(hào)簡(jiǎn)化思科IOS的ACL修改操作

6.思科5520怎么配置ACL