?
?
一、名詞解釋
訪問控制列表(Access?Control?list,?ACL)?是路由器和交換機接口的指令列表,用來控制端口進出的數(shù)據(jù)包,ACL適用于所有的被路由協(xié)議,
如IP、IPX、AppleTak等。簡而言之,ACL可以過濾網(wǎng)絡中的流量,是控制訪問的一種網(wǎng)絡技術(shù)手段。
配置ACL后,可以限制網(wǎng)絡流量,允許特定設備訪問,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。
來自百度百科:http://baike.baidu.com/view/18596.htm?fr=aladdin
?
二、如何使用
?
【協(xié)議棧】:支持選擇IPV4或IPV6,在愛快路由3.7.0及以上版本支持。
【協(xié)議】:這條ACL規(guī)則所走的協(xié)議的類型。
【動作】:允許或阻斷;
【方向】: 進或轉(zhuǎn)發(fā);
?[進]:內(nèi)網(wǎng)或外網(wǎng)進路由。
?[轉(zhuǎn)發(fā)]:路由接收到內(nèi)網(wǎng)或外網(wǎng)數(shù)據(jù)然后把數(shù)據(jù)進行轉(zhuǎn)發(fā)動作。
【原始方向】:匹配主動發(fā)起方發(fā)起訪問時的報文。
【應答方向】:匹配被訪問方應答時的報文。
【源地址】:轉(zhuǎn)發(fā)與進動作的起始地址,支持選擇IPv6? MAC分組(3.7.7版本及以上支持)。地址填寫IPV6地址的MAC時,阻斷訪問可以生效,允許訪問暫不生效。
【目的地址】:轉(zhuǎn)發(fā)與進動作的結(jié)束地址,支持選擇IPv6? MAC分組(3.7.7版本及以上支持)。地址填寫IPV6地址的MAC時,阻斷訪問可以生效,允許訪問暫不生效。
【IPv6后綴匹配】:針對IPV6地址,填寫固定后綴防止設備在重新獲取IPv6地址后ACL規(guī)則失效。
示例:
IPv6地址:240e:1234:xxxx:xxxx:xxxx:AAAA
IPv6后綴匹配填寫:240e:1234:xxxx:xxxx:xxxx:AAAA/::AAAA,代表:AAAA前面地址可以任意變動,只需匹配:AAAA即可使規(guī)則生效。
注意事項:
目的地址可以不填寫,表示所有。
【源端口】:允許或阻斷的起始端口。
【目的端口】:特定目標的端口。
【進接口】:數(shù)據(jù)來源口。
【出接口】:目的出口。
?注意事項:同網(wǎng)段的數(shù)據(jù)不會經(jīng)過路由轉(zhuǎn)發(fā),不受ACL規(guī)則控制!
?
ACL規(guī)則如何實現(xiàn)單向訪問控制視頻教程:https://v.ikuai8.com/?id=33
?
?
?
三、舉例
案例一:可以阻斷某個端口。
例:阻斷192.168.15.2這個IP訪問80端口。
?
這樣設置的情況下,實現(xiàn)的效果是:192.168.15.2這個地址,訪問80端口都被阻斷。
注意事項:
目的端口與源端口可以不填寫。
協(xié)議必須要選擇,才可以添加端口
?
案例二、可以阻斷某個IP上網(wǎng)
案例三、可以只讓某一或某一段,只走一個WAN口
線路環(huán)境有兩條,接入wan口分別為wan1與wan2,192.168.15.2只允許走wan2,可使用端口分流與acl來實現(xiàn)
1.端口分流192.168.15.2指定走wan2。
?2.通過acl阻斷192.168.15.2走wan1的流量。
? ?
注意事項:
沖突時允許的優(yōu)先級高于阻斷的優(yōu)先級。
?
案例四、
可通過ACL阻斷l(xiāng)an口網(wǎng)段與擴展IP之間的訪問
1.lan:192.168.200.1/24
?擴展IP:192.167.200.1/24
2.ACL阻斷兩個網(wǎng)段的訪問,具體設置如下圖
注:源地址為lan或者擴展IP的網(wǎng)段其中的一個網(wǎng)段,目的地址為另一個網(wǎng)段。
案例五、
阻斷某個lan口下的全部IP上網(wǎng),只允許特定IP上網(wǎng)
1.阻斷所有客戶端上網(wǎng)。
2.只允許192.168.200.101上網(wǎng)
?
?案例六、只允許部分IP可以訪問內(nèi)網(wǎng)。
(1)第一條:阻斷所有IP訪問路由器內(nèi)網(wǎng)IP或IP段
(2)第二條:允許部分IP訪問路由器內(nèi)網(wǎng)IP或IP段
?
?
?
?案例七、不允許某個內(nèi)網(wǎng)IP地址訪問外網(wǎng),只允許訪問某個特定的外網(wǎng)IP
1、阻斷內(nèi)網(wǎng)10.0.0.2訪問外網(wǎng)
?
2、允許訪問特定外網(wǎng)IP:192.168.50.100
?
