ACL访问控制列表

ACL访问控制列表

        访问控制列表是一种基于规则的网络安全机制，用于控制对网络资源的访问。ACL可以应用于路由器、交换机、防火墙等网络设备上，以决定哪些数据包可以进入或离开网络。

分类：

1. 基本ACL（2000-2999）：只能匹配源IP地址，配置相对简单，适用于基于源地址的访问控制 
2. 高级ACL（3000-3999）：可以匹配源IP、目的IP、源端口、目的端口等，提供更细粒度的控制 
3. 二层ACL（4000-4999）：根据数据包的源MAC地址、目的MAC地址等二层信息制定规则 

ACL应用原则：

• 基本ACL尽量用在靠近目的网络的设备上
• 高级ACL尽量用在靠近源网络的设备上，以保护带宽和其他资源 

ACL应用方向：

• 入方向（Inbound）：数据包到达接口，即将被路由器处理
• 出方向（Outbound）：数据包已经过路由器处理，正准备离开接口

注：

• 一个接口的同一个方向只能调用一个ACL
• ACL规则按编号顺序执行，一旦匹配规则，不再继续向下匹配
• 删除ACL或规则时，请确认没有业务正在引用，以免造成业务中断
• 不同产品有不同特性。默认情况下，思科产品：如果未明确允许，则拒绝访问；华为产品则是要根据具体产品来确定是否放行或拒绝访问。 

ACL华为命令配置：

基本配置：

[Huawei] system-view
[Huawei] acl number 2001  // 创建ACL，编号2001
[Huawei-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  // 允许172.16.105.0/24网段
[Huawei-acl-basic-2001] rule deny source any  // 拒绝其他网段
[Huawei-acl-basic-2001] quit

高级配置：

[Huawei] system-view
[Huawei] acl 3002  // 创建高级ACL
[Huawei-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime  // 在指定时间范围内禁止访问
[Huawei-acl-adv-3002] quit

出站和入站：

[Huawei] interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3002  // 入站流量应用ACL 3002
[Huawei-GigabitEthernet0/0/1] quit

配置时间范围的ACL示例：

如果ACL需要在特定时间生效，可以配置时间范围。

[Huawei] time-range work_hours 08:00 to 17:00 working-day  // 定义工作时间为工作日的08:00至17:00
[Huawei] acl number 3000
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 time-range work_hours  // 允许工作时间的TCP流量
[Huawei-acl-adv-3000] quit

删除ACL规则

//删除某个ACL中的某条规则
[Huawei] acl 3001
[Huawei-acl-adv-3001] undo rule 5
[Huawei-acl-adv-3001] quit//删除整个ACL
[Huawei] acl 2001
[Huawei-acl-basic-2001] undo acl
[Huawei-acl-basic-2001] quit