ACL 訪問控制列表（一）

ACL 訪問控制列表 access control list (路由器，三層交換) 包過濾防火牆

ACL訪問控制列表的類型

標準訪問控制列表
基於源IP地址過濾數據包
標準訪問控制列表的訪問控制列表號時1~99
擴展訪問控制列表
基於源IP地址、目的IP地址、指定協議、端口和標誌來過濾數據包
擴展訪問控制列表的訪問控制列表號是100~199
命名訪問控制列表
命名訪問控制列表容許在標準和擴展訪問控制列表使用中名稱代替表號
訪問控制列表基於三層（IP）和四層（端口、協議）進行過濾

ACL匹配規則：自上而下 逐條匹配 默認隱含拒絕全部

白名單
容許 1.2
容許 1.3
拒絕全部（不寫）

黑名單
拒絕 1.2
拒絕 1.3
容許全部（必須寫）

標準訪問控制列表的配置

建立ACL：

Router(config)#access-list accsee-list-number
{ permit容許數據包經過 | deny拒絕數據包經過 } source [ source-wildcard ]可對源IP進行控制

刪除ACL：

Router(config)#no access-list access-list-number

應用實例：

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
容許192.168.1.0/24和主機192.168.2.2的流量經過

隱含的拒絕語句：

Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255

實驗：標準ACL的配置

實驗拓撲圖

配置交換機接口

conf t
no ip routing
int f1/2
speed 100
dup full

配置路由器接口

conf t
int f0/0
ip add 192.168.10.1 255.255.255.0
no shut
int f0/1
ip add 192.168.20.1 255.255.255.0
no shut

配置PC機IP地址

PC1 ip 192.168.10.2 192.168.10.1
PC2 ip 192.168.10.3 192.168.10.1
PC3 ip 192.168.20.2 192.168.20.1

測試各PC機連通性

ping 192.168.10.2
ping 192.168.10.3

全局模式下在R1上定義規則

access-list 1 deny host 192.168.10.2
do show access-list
access-list 1 permit any
int f0/0
ip access-group 1 in

此時驗證是否達到了實驗要求
分別用PC1與PC2分別pingPC3,PC2能夠ping通，而PC1沒法ping通
PC1>ping 192.168.20.2
PC2>ping 192.168.20.2