基本的访问控制列表ACL配置

摘要：

访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合，这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息
 来描述。ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这些规则判 断哪些数据包可以通过，哪些数据包，需要拒绝。

按照访问控制列表的用途，可以分为基本的访问控制列表和高级的访问控制列表， 基本ACL可使用报文的源IP地址、时间段信息来定义规则，编号范围为2000〜 2999
   一个ACL可以由多条“deny/permit"语句组成，每一条语句描述一条规则，每条规 则有一个Rule-ID。Rule-ID可以由用户进行配置，也可以由系统自动根据步长生成，默认步长为5,

Rule-ID默认按照配置先后顺序分配0、5、10、15等，匹配顺序按照ACL 的Rule-ID的顺序，从小到大进行匹配。

实验场景模拟：

本实验模拟企业网络环境，R1为分支机构A 管理员所在IT部门的网关，R2为分支机构A用户部门的网关，R3为分支机构A 去往总部
出口的网关设备，R4为总部核心路由器设备。整网运行OSPF协议，并在区域0 内。企业设计通过远程方式管理核心网路由器R4 ,要求

只能由R1所连的PC (本实验使用环回接口模拟)访问R 4 ,其他设备均不能访问。

实验拓扑：

实验编址：

实验步骤：

1. 基本配置
根据实验编址表进行相应的基本配置，并使用ping命令检测各直连链路的连通性（测试略）。

2. 搭建OSPF网络
在所有路由器上运行OSPF协议，通告相应网段至区域0中。

配置完成之后，在 R1的路由表上查看OSPF路由信息。

路由器R1己经学习到了相关网段的路由条目，测试R1的环回口与R4的环回口间
的连通性。

通信正常，其他路由器之间测试省略。
3 . 配置基本ACL控制访问
在总部核心路由器R4上配置Telnet相关配置，配置用户密码为huawei。

配置完成后，尝试在IT部门网关设备R1上建立Telnet连接。

可以观察到，R1可以成功登录R4。再尝试在普通员工部门网关设备R2上建立连接。

这时发现，只要是路由可达的设备，并且拥有Telnet的密码，都可以成功访问核心 设备R4。

这显然是极为不安全的，只要是直连路由就可以进，我们要设置一下acl控制一下，只允许1.1.1.1   访问服务器

接下来在ACL视图中，使用rule命令配置ACL规则，指定规则ID 为 5 , 允许数 据包源地址为1.1.1.1的报文通过，反掩码为全0 , 即精确匹配

使用rule命令配置第二条规则，指定规则ID 为 1 0 ,拒绝任意源地址的数据包 通过。

在上面的ACL配置中，第一条规则的规则ID定义为5 , 并不是1，第二条定义 为 10 ,也不与5连续，这样配置的好处是能够方便后续的修改或插入新的条目。并且在配置

的时候也可以不采用手工方式指定规则ID,ACL会自动分配规则ID ,第一条为5 ,第二条为1 0第三条为1 5 ,依此类推，即默认步长为5 , 该步长参数也是可以修改的。

ACL配置完成后，在 VTY中调用。使用inbound参数，即在R4的数据入方向上调用。

配置完成后，使用R1的环回口地址1.1.1.1测试访问444.4的连通性

发现没有问题，然后尝试在R2上访问R4

可以观察到，此时R2已经无法访问4 .4 4 4 ,即上述ACL配置已经生效。

4 . 基本ACL的语法规则

     ACL的执行是有顺序性的，如果规则ID小的规则已经被命中，并且执行了允许或
者拒绝的动作，那么后续的规则就不再继续匹配。

在 R4上使用display acl all命令査看设备上所有的访问控制列表。

以上是目前ACL的所有配置信息,即我们刚添加的两条
下面使用规则ID 15来添加允许3.3.3.3访问的规则

配置完成后，尝试使用R3的3.3.3.3访问R4。

发现无法访问。按照ACL匹配顺序，这是由于规则为10的条目是拒绝所有行为，
后续所有的允许规则都不会被匹配。若要此规则生效，必须添加在拒绝所有的规则ID
之前。
在 R4上修改ACL 2000,将规则ID修改为8

配置完成后，再次尝试使用R3的环回口访问R4。

此时访问成功，证明配置已经生效。

最后别忘了save保存配置。