acl

• acl访问控制列表

  用于对流量的访问控制，允许或拒绝数据流通过(是一项安全技术)

• acl的应用场景

  1.独立使用(用于包过滤功能)
  2.结合使用(做为工具被其他技术调用)
  acl包过滤功能，默认规则是"允许所有数据流通过"
  acl做为工具进行路由匹配的时候，默认规则是"拒绝所有数据流通过"

• acl的分类

  基本: 2000-2999,只检查源ip
  高级: 3000-3999，检查、目标ip、源ip、目标端口、协议、选项等

• acl的规则: 按序检查、匹配停止、默认允许

• ps: acl的匹配原则,遵循深度优先原则(越细明越靠前，越模糊越靠后)

• 配置顺序

  [Huawei] acl 2002 match-order config
  #设置步长为1，默认步长为5 
  [Huawei-acl-basic-2002] set 1 
  #acl自动匹配顺序
  [Huawei] acl match-order auto 

• 通配符掩码”反向掩码”

  "0" 严格匹配
  "1"任意匹配
  ps: 掩码为0.0.0.0 时候可以缩写为0 
  ps: 掩码是连续的1或0

• acl规则配置

  	# 编号为2000的简单acl配置
  	[Huawei] acl 2000 
  	#拒绝ip地址为192.168.1.1的设备访问
  	[Huawei-acl-basic-2000] rule deny sorce 192.168.1.1 0 
  	#拒绝192.168.1.2的设备访问192.168.3.4 的ftp服务
  	[Huawei] acl 3000 #acl高级设置
  	[Huawei-acl-adv-3000] rule deny tcp source 192.168.1.2  0 destination 
  192.168.3.4 0  destination-port eq ftp 
  	#允许ip地址为192.168.2.2 的设备访问服务器192.168.4.1 的web服务
  	[Huawei-acl-adv-3000] rule permit tcp source 192.168.2.2 0  destination 192.168.4.1 0 destination-port eq www 
  	#查看acl配置
  	[Huawei] dis acl all 
  	#应用acl规制
  	[Huawei] int g0/0/1
  	#数据流出去的时候应用此规则
  	[Huawei-g0/0/1] traffic-filter  inbound acl 3000 
  	ps:  数据方向处理inbound还有与之相反的outbound代表出方向
  	面对我们,从左往右代表出方向，从右往左代表入方向