什么是ACL访问控制列表

来源：公众号【网络技术干货圈】

作者：圈圈

ID：wljsghq

通过之前的文章简单介绍了华为交换机如何配置SSH远程登录，在一些工作场景，需要特定的IP地址段能够SSH远程访问和管理网络设备，这样又需要怎么配置呢？下面通过一个简单的案例带着大家去了解一下。

要实现这个功能其实很简单，我们只需要把允许访问的IP流量放通，其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。

什么是ACL？

ACL（Access Control List）访问控制列表，是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

ACL应用原则

标准ACL，尽量用在靠近目的点

扩展ACL，尽量用在靠近源的地方（可以保护带宽和其他资源）

方向：在应用时，一定要注意方向

案例分享

拓扑图

描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络，能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.

配置思路

创建VLAN10和20，并为VLANIF10和20配置IP地址。

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

在SW1上配置SSH远程登录。

配置ACL，允许管理网络远程登录，禁用非管理网络登录。

关键配置

创建VLAN10和20，并为VLANIF10和20配置IP地址。

[SW1]vlanbatch1020#创建vlan1020
[SW1]interfaceVlanif10#进入vlan10配置模式
[SW1-Vlanif10]ipaddress192.168.10.25424#配置vlan10IP地址
[SW1]interfaceVlanif20
[SW1-Vlanif20]ipaddress192.168.20.25424

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

[SW1]interfaceGigabitEthernet0/0/24#进入接口模式
[SW1-GigabitEthernet0/0/24]portlink-typeaccess#配置接口模式为access
[SW1-GigabitEthernet0/0/24]portdefaultvlan10#把接口加入到vlan10中
[SW1]interfaceGigabitEthernet0/0/23
[SW1-GigabitEthernet0/0/23]portlink-typeaccess
[SW1-GigabitEthernet0/0/23]portdefaultvlan20

在SW1上配置SSH远程登录。

配置ACL，允许管理网络远程登录，禁用非管理网络登录。

[SW1]aclnamessh_kongzhi2001#定义acl名称为ssh_kongzhi
#匹配允许192.168.10网络的流量
[SW1-acl-basic-ssh_kongzhi]rule5permitsource192.168.10.00.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule10deny#禁止其他网络流量

#在vty接口应用acl2001
[SW1-ui-vty0-4]acl2001inbound

通过以上的ACL访问控制列表，就能完美的把允许的流量放行，其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。