HCIA~ACL原理与配置

1、ACL技术概述

ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。

技术背景：需要一个工具，实现流量过滤

ACL概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。

ACL是一个匹配工具，能够对报文进行匹配和区分。 

2、ACL的基本概念及其工作原理

ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

规则编号

规则编号（Rule ID）： 一个ACL中的每一条规则都有一个相应的编号。

步长（Step）: 是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

Rule ID分配规则： 系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

 通配符

1、子网掩码：配置地址时，直接配置子网掩码用于确定网络位个数

2、反掩码:OSPF配置时所用，和正掩码完全相反，0和1完全相反但意义相同

3、通配符：ACL所使用，0代表匹配，1代表不匹配，0和1可以不连续

ACL的分类与标识

10.1.0.0/17使用通配符掩码匹配出该网段所有的地址

0.0.127.255

192.168.1.0/24，使用通配符掩码匹配出所有的小于32的IP地址

0.0.0.31

基本ACL&高级ACL

高级ACL配置

acl 3000

rule 5 deny tcp source 10.1.1.1 0 destination 3.3.3.3 0 destination-port eq 23

规则五 拒绝 TCP协议 来自于源10.1.1.1 目的3.3.3.3    目标端口号23

ACL的匹配机制

ACL的匹配顺序及匹配结果

配置顺序（config模式）

系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。

ACL的匹配位置

入站 (Inbound)及出站 (Outbound)方向

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

调用ACL，在该接口入方向调入ACL2000

3、ACL的基础配置及应用

基本ACL的基础配置命令

高级ACL的基础配置命令

思考题

1、（单选）下列选项中，哪一项才是一条合法的基本ACL的规则？（C  ）

A、rule permit ip

B、rule deny ip

C、rule permit source any

D、rule deny tcp source any

2、高级ACL可以基于哪些条件来定义规则？

源目IP、协议类型、端口号等

----以上内容为誉天教育培训过程中所记，如有雷同纯属巧合----

标签：deny,匹配,编号,HCIA,ACL,步长,规则,原理
来源： https://blog.csdn.net/m0_45912044/article/details/123574995