ACL

---

Author:Chen Taicheng

---

 

RACL (IP ACL)

分类：编号ACL   /　命名ACL

　　　标准ACL(1-99,1300-1999)  /    扩展ACL（100-199，2000-2699）

---

编号标准：

语法：access-list {1-99|1300-1999} {permit|deny} 网段 网段的反掩码

例子：

ACL的应用：在特定接口或进程下应用　　ip access-group 1 in/out

编号扩展：

语法：access-list {100-199|2000-2699} {permit|deny} 协议 源地址 目标地址 

例子：

---

 命名ACL：

语法：

NOTE:

删除ACL只需进入ACL然后  no ACL 编号   　　// no 60     

添加ACL只需进入ACL然后在添加的ACL前加上编号　　// 60 permit ip any any

---

ACL规则：

---

 时间ACL：*扩展ACL才支持Time range

NOTE：一个时间范围只能有一个absolute语句，但是可以有几个periodic语句。 

absolute是指定什么时候生效和失效/由start和end规定，在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。

periodic：主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。

部署：1、先定义 Time range  　　2、在ACL上应用在 Time range

例子：

1、定义Time range CTC

2.应用CTC

---

自反ACL

原理图：

 部署：

1、采样 reflect CTC

2、放行采样的流量 evaluate CTC

3、应用到接口，原理：内网出去的流量先被该接口采样记录下来，然后回来时该接口识别出该流量是内网出去的于是放行

---

---

 MACL（mac ACL）

配置MAC ACL：
MAC ACL能根据帧的源和目的MAC及帧的类型进行过滤。

SW1(config)#mac access-list extended MACL
SW1(config-ext-macl)#deny cc01.0604.0000 0000.0000.ffff any   //拒绝源MAC为CC01.0604.****的帧
SW1(config-ext-macl)#permit any any

SW1(config)#int f0/1
SW1(config-if)#mac access-group MACL in        //在F0/0接口IN方向应用MAC ACL

实验调试：

测试R1和其它路由器的通信，很可能还是正常的，原因在于：MAC ACL对ICMP这样的IP数据包并不起作用。在路由器R1上，执行“clear arp-cache”命令后，再重新测试R1和其它路由器的通信，这时应该无法通信，原因在于：当清除ARP表后，R1需要先发送ARP请求，而该ARP请求将被MAC ACL丢弃。

说明：可以通过“show int f0/0”或“show ip arp”命令查看MAC地址。

注意：MAC ACL只对非IP流量起作用。

---

VACL(vlan ACL)

配置VACL：

VACL应用在VLAN上，没有方向性，进入或离开VLAN的数据都要受控制。

配置步骤：

1. 指定VLAN访问映射表的名称和序列号: vlan access-map map_name [seq#]

2. 配置MATCH子句 match ip address................................

3. 配置ACL操作 action ....................................................

4. 将VLAN 访问映射表应用于VLAN vlan filter map_map vlan_list list

配置VACL：

VACL应用在VLAN上，没有方向性，进入或离开VLAN的数据都要受控制。

SW1(config)#int f0/3
SW1(config-if)#no ip access-group 100 in        //先清除F0/3接口上的ACL
SW1(config)#access-list 101 permit ip host 172.16.2.4 host 172.16.1.2
SW1(config)#vlan access-map VACL 5

SW1(config-access-map)#match ip address 101
SW1(config-access-map#action drop        //以上配置从2.4发往1.2的数据将被丢弃
SW1(config)#vlan access-map VLAN 10
SW1(config-access-map)#action forward        //以上配置其它的数据包将被转发

SW1(config)#vlan filter VLAN vlan-list 1
实验调试：

路由器R2和R3之间的通信应该是正常的；路由器R2和R4之间的通信应该是不正常的。

注意：VACL是应用在Vlan 1上的，当1.2发包到2.4时，VACL不丢弃数据包；而当2.4发包到1.2时，VACL丢弃数据包。

 

---