愛快網關 ACL配置詳細說明

一、名詞解釋

訪問控制列表（Access Control list, ACL) 是路由器和交換機接口的指令列表，用來控制端口進出的數據包，ACL適用于所有的被路由協議，

如IP、IPX、AppleTak等。簡而言之，ACL可以過濾網絡中的流量，是控制訪問的一種網絡技術手段。

配置ACL后，可以限制網絡流量，允許特定設備訪問，指定轉發特定端口數據包等。

來自百度百科：http://baike.baidu.com/view/18596.htm?fr=aladdin

 

二、如何使用

 

【協議棧】：支持選擇IPV4或IPV6，在愛快路由3.7.0及以上版本支持。

【協議】：這條ACL規則所走的協議的類型。

【動作】：允許或阻斷；

【方向】： 進或轉發；

 [進]：內網或外網進路由。

 [轉發]：路由接收到內網或外網數據然后把數據進行轉發動作。

【原始方向】：匹配主動發起方發起訪問時的報文。

【應答方向】：匹配被訪問方應答時的報文。

【源地址】：轉發與進動作的起始地址，支持選擇IPv6  MAC分組（3.7.7版本及以上支持）。地址填寫IPV6地址的MAC時，阻斷訪問可以生效，允許訪問暫不生效。

【目的地址】：轉發與進動作的結束地址，支持選擇IPv6  MAC分組（3.7.7版本及以上支持）。地址填寫IPV6地址的MAC時，阻斷訪問可以生效，允許訪問暫不生效。

【IPv6后綴匹配】：針對IPV6地址，填寫固定后綴防止設備在重新獲取IPv6地址后ACL規則失效。
示例：
IPv6地址：240e:1234:xxxx:xxxx:xxxx:AAAA
IPv6后綴匹配填寫：240e:1234:xxxx:xxxx:xxxx:AAAA/::AAAA，代表:AAAA前面地址可以任意變動，只需匹配:AAAA即可使規則生效。

注意事項：

目的地址可以不填寫，表示所有。

【源端口】：允許或阻斷的起始端口。

【目的端口】：特定目標的端口。

【進接口】：數據來源口。

【出接口】：目的出口。

 注意事項：同網段的數據不會經過路由轉發，不受ACL規則控制！

 

ACL規則如何實現單向訪問控制視頻教程：https://v.ikuai8.com/?id=33

 

 

 

三、舉例

案例一：可以阻斷某個端口。

例：阻斷192.168.15.2這個IP訪問80端口。

 

這樣設置的情況下，實現的效果是：192.168.15.2這個地址，訪問80端口都被阻斷。

注意事項：

目的端口與源端口可以不填寫。

協議必須要選擇，才可以添加端口

 

案例二、可以阻斷某個IP上網

案例三、可以只讓某一或某一段，只走一個WAN口

線路環境有兩條，接入wan口分別為wan1與wan2,192.168.15.2只允許走wan2，可使用端口分流與acl來實現

1.端口分流192.168.15.2指定走wan2。

 2.通過acl阻斷192.168.15.2走wan1的流量。

   

注意事項：

沖突時允許的優先級高于阻斷的優先級。

 

案例四、

可通過ACL阻斷lan口網段與擴展IP之間的訪問

1.lan：192.168.200.1/24

 擴展IP：192.167.200.1/24

2.ACL阻斷兩個網段的訪問，具體設置如下圖

注：源地址為lan或者擴展IP的網段其中的一個網段，目的地址為另一個網段。

案例五、

阻斷某個lan口下的全部IP上網，只允許特定IP上網

1.阻斷所有客戶端上網。

2.只允許192.168.200.101上網

 

 案例六、只允許部分IP可以訪問內網。

（1）第一條：阻斷所有IP訪問路由器內網IP或IP段

（2）第二條：允許部分IP訪問路由器內網IP或IP段

 

 

 

 案例七、不允許某個內網IP地址訪問外網，只允許訪問某個特定的外網IP

1、阻斷內網10.0.0.2訪問外網

 

2、允許訪問特定外網IP：192.168.50.100