ACL访问控制列表——标准IP访问列表(理论+实验)

ACL访问控制列表的功能

1.限制网络流量、提升网络性能
2.提供对通讯流量的控制手段
3.提供网络访问的基本安全手段
4.在网络设备接口处，决定哪一种类型的通讯流量被转发、哪一种类型的通讯流量被阻塞

ACL的工做原理

1.访问控制列表在接口应用的方向
出方向：已通过路由器的处理，正离开路由器接口的数据包
入方向：已达到路由器接口的数据包，将被路由器处理
列表应用到接口方向与数据方向有关

ACL规则

1. 从上到下依次匹配
2. 一旦被某条ACL匹配，则中止查找
3. 依照上两条规则，ACL的精确或者严格规则写在最上面
4. 默认的ACL包含隐藏一条deny all ，即默认状况是拒绝全部数据
5.acl是做用在接口上的

基本的规则是：
（1）将扩展 ACL 尽量靠近要拒绝流量的源。这样，才能在不须要的流量流经网络以前将其过滤掉。

（2）由于标准 ACL 不会指定目的地址，因此其位置应该尽量靠近目的地。

出：已通过路由器的处理，正离开路由器接口的数据包
入：已到达路由器接口的数据包，将被路由器处理

ALC访问控制列表的类型

标准访问控制列表

• 基于源IP地址过滤数据包
• 标准访问控制列表的访问控制列表号是1-99
  扩展访问控制列表
• 基于源IP地址、目的IP地址、指定协议、端口和标志来过数据包
• 拓展访问控制列表的访问控制列表号100-199
  命名访问控制列表
• 命名访问控制列表容许在标准和扩展访问控制列表中使用名称代替表号

  ACL配置相关命令

  全部的命令都是在全局模式下配置
  建立ACL

  Router(config)#access-list access-list-number { permit | deny} source [source-wildcard ]
  access-list-number :标准ACL号码，范围从0-99
  permit : 容许数据包经过
  deny ： 拒绝数据包经过
  source ： 发送数据包的网络地址或者主机地址
  source-wildcard ： 源ip地址

删除ACL

Router(config)# no access-list access-list-number

关键词

host 、any

将ACL 应用于接口

Router(config-if)#ip access-group access-list-number {in | out}
ip access-group ：标准ACL号码，范围从0-99
access-list-number ： 标准ACL号码，范围从0-99
in ： 限制特定设备与访问列表中地址之间的传入链接
out ： 限制特定设备与访问列表中地址之间的传出链接

在接口上取消ACL 的应用

Router(config-if)# no ip access-group access-list-number {in | out}

实际操做

详细配置
一、拓扑图中三台PC机(VPCS)
二、两台路由器其中一台更更名称为"SW",并添加二层业务单板(NM-16ESW)
实验目的：经过ACL访问控制列表PC2访问PC3，而PC1不能访问PC3

第一步、配置交换机

第二步、进入路由器R1进行配置

查看IP地址配置状况

第三步、分别给三台PC机配置IP地址并测试互通性


第四步、建立ACL控制列表，并将ACL应用到f0/0接口

第五步、测试实验结果