一、标准ACL

1、ACL基本概念

1.1、什么是访问控制列表

• 是一种基于包过滤的访问控制技术（拆网络层的IP地址)，广泛应用于路由嚣和三层交换机中，基于数据包的五元组进行过滤（源IP，目标P，源端口，目标端口，协议)
• 读取三层(网络层)和四层（传输层)

1.2、工作原理

• 数据的流量走向（确定，路由器的入口或出口，建议是将ACL应用在入口,从而减少路由器的路由的工作量)
• 工作过程
  

1.3、访问控制列表分类(思科设备)

• 标准
• • 基于源P地址进行控制。
• • 表号:1~99
• 扩展
• • 基于源IP、目的IP、指定协议、端口号、标志位来过滤。
• • 表号:100~199
• 命名
• • 没有表号，使用名字作为表号
• • 直接使用: standard标识标ACL extended标识扩展ACL

1.4、配置

配置一：配置标准的访问控制列表

#创建
access-list 1 permit/deny host 192.168.1.1#某台主机
access-list 1 permit/deny 192.168.1.1 0.0.0.0#某台主机
access-list 1 permit/deny 192.168.1.0 0.0.0.255#某个网段
access-7ist 1 permit /deny any#所有
#将访问控制列表应用到接口
int f0/0
ip access-group 1 in/out
#in此接口为入口
#out此接口为出口
1
2
3
4
5
6
7
8
9
10

1.5、ACL的应用规则

• 在一个接口的一个方向上只能应用一个访问控制列表

access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in#这条生效
ip access-aroup 2 in # 这条不生效
ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息，所以相当于白费，且白占用资源
 
1
2
3
4
5
6
7

实验：标准ACL
1、放置器件并连线如下图，并配置IP的地址

2、ping通才能配置ACL

3、先配置拒绝，再配置允许。最后应用入口



4、PC0不能访问PC2，PC1可以访问PC2。完成实验

二、扩展ACL

access-list 100 permit/deny 协议(icmp ip tcp udp) 源地址 目的地址(eq/gt/lt/neq/range) 端口号
1

实验:扩展ACL
1、放置器件并连线如图所示，按图配置IP

注意服务器也要配置IP

2、配置服务器

3、配置静态路由


4、检验能够ping通服务器


5、检测http能否通信


6、检测dns能够通信




7、实验要求
1、PC0无法访问服务器0的DNS服务，其他服务不受影响
2、PC1无法访问服务器0的http服务，其他服务不受影响
3、两台主机都无法ping通服务器0
注意：配置ACL之前,首先需要网络互通
接着网络中路由器比较多的时候，需要确定在哪一台路由器上配置ACL确定了配置的路由器后,需要确定配置在入口还是出口



8、检验






9、检验其他服务



成功完成实验。

三、命名ACL

继续扩展ACL的实验
1、删除ACL.无论是标准ACL还是扩展ACL,只能全删，不能删除某一条，这就是坏处
能ping通，确认删除完毕：

2、配置命名ACL

3、查看并应用


4、检验
pc0ping不通服务器：

pc1也ping不通服务器：

pc1还访问不了网页：

pc1可以访问dns：

pc0连ftp也访问不了：

5、我们想要pc0可以访问服务器，那么就删掉编号为10的条目

删掉操作：

发现PC0可以访问了:

6、想要pc0其他操作都可以，就是不能ping通服务器


ping不通了，但是能进行其他操作