400-877-3227

4008773227

108636278

爱快在线支持

Online Support

ACL规则

2018-01-19

一、名词解释

    访问控制列表(Access Control list, ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包,ACL适用于所有的被路由协议,如IP、IPX、AppleTak等。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。

来自百度百科:http://baike.baidu.com/view/18596.htm?fr=aladdin


二、如何使用

image.pngimage.png

【协议】:这条ACL规则所走的协议的类型。

【动作】:允许或阻断;

【方向】: 进或转发;

 [进]:内网或外网进路由。

 [转发]:路由接收到内网或外网数据然后把数据进行转发动作。、

【源地址】:转发与进动作的起始地址。

【目的地址】:转发与进动作的结束地址。

注意事项:

目的地址可以不填写,表示所有。

【源端口】:允许或阻断的起始端口。

【目的端口】:特定目标的端口。

【进接口】:数据来源口。

【出接口】:目的出口。


三、举例

A:可以阻断某个端口。

例:阻断192.168.15.2这个IP开网页。

 62.png这样设置的情况下,实现的效果是:LAN1下面的192.168.15.2这个地址,通过WAN1的80端口都被阻断。

注意事项:

目的端口与源端口可以不填写。


B、可以阻断某个IP上网image.png

C、可以只让某一或某一段,只走一个WAN口

    线路环境有两条,接入wan口分别为wan1与wan2,192.168.15.2只允许走wan2,可使用端口分流与acl来实现

    1.端口分流192.168.15.2指定走wan2。

    2.通过acl阻断192.168.15.2走wan1的流量。

   image.png

注意事项

冲突时允许的优先级高于阻断的优先级。


D、可通过ACL阻断lan口网段与扩展IP之间的访问

1.lan:192.168.200.1/24

  扩展IP:192.167.200.1/24

image.png

2.ACL阻断两个网段的访问,具体设置如下图

image.png

注:源地址为lan或者扩展IP的网段其中的一个网段,目的地址为另一个网段。

E、阻断全部,只允许特定IP上网

1.阻断所有客户端上网。

image.png

2.只允许192.168.200.101上网

image.png

注意事项:

 阻断所有,源目IP为空,只允许特定IP上网时,针对特定IP需要做两个方向的允许才能正常上网。

 源地址为特定的IP,目的地址为空的允许。

 源地址为空,目的地址为特定IP的允许。