一、名詞解釋
訪(fǎng)問(wèn)控制列表(Access Control list, ACL) 是路由器和交換機接口的指令列表,用來(lái)控制端口進(jìn)出的數據包,ACL適用于所有的被路由協(xié)議,
如IP、IPX、AppleTak等。簡(jiǎn)而言之,ACL可以過(guò)濾網(wǎng)絡(luò )中的流量,是控制訪(fǎng)問(wèn)的一種網(wǎng)絡(luò )技術(shù)手段。
配置ACL后,可以限制網(wǎng)絡(luò )流量,允許特定設備訪(fǎng)問(wèn),指定轉發(fā)特定端口數據包等。
來(lái)自百度百科:http://baike.baidu.com/view/18596.htm?fr=aladdin
二、如何使用
【協(xié)議棧】:支持選擇IPV4或IPV6,在愛(ài)快路由3.7.0及以上版本支持。
【協(xié)議】:這條ACL規則所走的協(xié)議的類(lèi)型。
【動(dòng)作】:允許或阻斷;
【方向】: 進(jìn)或轉發(fā);
[進(jìn)]:內網(wǎng)或外網(wǎng)進(jìn)路由。
[轉發(fā)]:路由接收到內網(wǎng)或外網(wǎng)數據然后把數據進(jìn)行轉發(fā)動(dòng)作。
【原始方向】:匹配主動(dòng)發(fā)起方發(fā)起訪(fǎng)問(wèn)時(shí)的報文。
【應答方向】:匹配被訪(fǎng)問(wèn)方應答時(shí)的報文。
【源地址】:轉發(fā)與進(jìn)動(dòng)作的起始地址,支持選擇IPv6 MAC分組(3.7.7版本及以上支持)。地址填寫(xiě)IPV6地址的MAC時(shí),阻斷訪(fǎng)問(wèn)可以生效,允許訪(fǎng)問(wèn)暫不生效。
【目的地址】:轉發(fā)與進(jìn)動(dòng)作的結束地址,支持選擇IPv6 MAC分組(3.7.7版本及以上支持)。地址填寫(xiě)IPV6地址的MAC時(shí),阻斷訪(fǎng)問(wèn)可以生效,允許訪(fǎng)問(wèn)暫不生效。
【IPv6后綴匹配】:針對IPV6地址,填寫(xiě)固定后綴防止設備在重新獲取IPv6地址后ACL規則失效。
示例:
IPv6地址:240e:1234:xxxx:xxxx:xxxx:AAAA
IPv6后綴匹配填寫(xiě):240e:1234:xxxx:xxxx:xxxx:AAAA/::AAAA,代表:AAAA前面地址可以任意變動(dòng),只需匹配:AAAA即可使規則生效。
注意事項:
目的地址可以不填寫(xiě),表示所有。
【源端口】:允許或阻斷的起始端口。
【目的端口】:特定目標的端口。
【進(jìn)接口】:數據來(lái)源口。
【出接口】:目的出口。
注意事項:同網(wǎng)段的數據不會(huì )經(jīng)過(guò)路由轉發(fā),不受ACL規則控制!
ACL規則如何實(shí)現單向訪(fǎng)問(wèn)控制視頻教程:https://v.ikuai8.com/?id=33
三、舉例
案例一:可以阻斷某個(gè)端口。
例:阻斷192.168.15.2這個(gè)IP訪(fǎng)問(wèn)80端口。
這樣設置的情況下,實(shí)現的效果是:192.168.15.2這個(gè)地址,訪(fǎng)問(wèn)80端口都被阻斷。
注意事項:
目的端口與源端口可以不填寫(xiě)。
協(xié)議必須要選擇,才可以添加端口
案例二、可以阻斷某個(gè)IP上網(wǎng)
案例三、可以只讓某一或某一段,只走一個(gè)WAN口
線(xiàn)路環(huán)境有兩條,接入wan口分別為wan1與wan2,192.168.15.2只允許走wan2,可使用端口分流與acl來(lái)實(shí)現
1.端口分流192.168.15.2指定走wan2。
2.通過(guò)acl阻斷192.168.15.2走wan1的流量。
注意事項:
沖突時(shí)允許的優(yōu)先級高于阻斷的優(yōu)先級。
案例四、
可通過(guò)ACL阻斷lan口網(wǎng)段與擴展IP之間的訪(fǎng)問(wèn)
1.lan:192.168.200.1/24
擴展IP:192.167.200.1/24
2.ACL阻斷兩個(gè)網(wǎng)段的訪(fǎng)問(wèn),具體設置如下圖
注:源地址為lan或者擴展IP的網(wǎng)段其中的一個(gè)網(wǎng)段,目的地址為另一個(gè)網(wǎng)段。
案例五、
阻斷某個(gè)lan口下的全部IP上網(wǎng),只允許特定IP上網(wǎng)
1.阻斷所有客戶(hù)端上網(wǎng)。
2.只允許192.168.200.101上網(wǎng)
案例六、只允許部分IP可以訪(fǎng)問(wèn)內網(wǎng)。
(1)第一條:阻斷所有IP訪(fǎng)問(wèn)路由器內網(wǎng)IP或IP段
(2)第二條:允許部分IP訪(fǎng)問(wèn)路由器內網(wǎng)IP或IP段
案例七、不允許某個(gè)內網(wǎng)IP地址訪(fǎng)問(wèn)外網(wǎng),只允許訪(fǎng)問(wèn)某個(gè)特定的外網(wǎng)IP
1、阻斷內網(wǎng)10.0.0.2訪(fǎng)問(wèn)外網(wǎng)
2、允許訪(fǎng)問(wèn)特定外網(wǎng)IP:192.168.50.100