ACL标准访问控制列表

概述

访问控制列表是读取第三层，第四层包头信息，根据预先定义好的规则对包头进行过滤。应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包能够接收、哪些数据包须要拒绝。
访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包能够收、哪些数据包须要拒绝。至于数据包是被接收仍是拒绝，能够由相似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但能够起到控制网络流量、流向的做用，并且在很大程度上起到保护网络设备、服务器的关键做用。做为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。
此外，在路由器的许多其余配置任务中都须要使用访问控制列表，如网络地址转换（Network Address Translation，NAT）、按需拨号路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等不少场合都须要访问控制列表。

功能

1）限制网络流量、提升网络性能。例如，ACL能够根据数据包的协议，指定这种类型的数据包具备更高的优先级，同等状况下可预先被网络设备处理。
2）提供对通讯流量的控制手段。
3）提供网络访问的基本安全手段。
4）在网络设备接口处，决定哪一种类型的通讯流量被转发、哪一种类型的通讯流量被阻塞。

分类

标准访问控制列表

扩展访问控制列表

命名访问控制列表**

访问控制列表在接口应用的方向

出 ：已通过路由器处理，正离开路由器接口的数据包

入：已到达路由器接口的数据包，将被路由器处理

访问控制列表的类型

标准访问控制列表

1 基于源IP地址过滤数据包
2 标准访问控制列表的访问控制列表号是1~99

扩张访问控制列表

1 基于源IP地址，目的IP地址，指定协议，端口和标志来过滤数据包
2 扩展访问控制列表的访问控制列表号是100~199
命名访问控制列表

命名访问控制列表容许在标准和扩展访问控制列表中使用名称代替表号

标准访问控制列表的配置

建立ACL

Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]

删除ACL
Router(config)# no access-list access-list-number

实例

禁止主机PC2访问R1，而容许其它流量

实验拓扑图以下所示

1 按拓扑图配置

2 配置完成，测试互通

3全网互通，按要求配置访问控制列表

ACL访问控制列表在路由器或者三层交换上设置，此实验在R1上配置

4 访问控制列表配置完成，测试互通