標準ACL、擴展ACL和命名ACL的理論和配置實例

理論部分

訪問控制列表概述：

訪問控制列表（ACL）是應用在路由器接口的指令列表（即規則）

其基本原理：ACL使用包過濾技術，在路由器上讀取OSI七層參考模型的第三層和第四層包頭中的信息。根據預先定義好的規則，對包進行過濾從而達到訪問控制的目的。

ACL經過在路由器接口處控制數據包是轉發仍是丟棄。

路由器根據ACL中指定的條件來檢測經過路由器的數據包

標準訪問控制列表：檢查數據包的源IP地址。其結果基於IP地址，來決定容許仍是拒絕轉發數據包。它使用1~99之間的數字做爲表號。

擴展訪問控制列表：對數據包的源IP地址和目的IP地址、指定協議、端口和標誌來容許或拒絕數據包。使用100~199之間的數字做爲表號。

命名訪問控制列表：容許在標準和擴展中使用名稱代替表號（更友好）。

訪問控制列表的工做原理：ACL是一組規則的集合。應用在路由器的某個接口上，對路由器而言有兩個方向：

出：已通過路由器的處理，正離開路由器接口的數據包

入：已到達路由器接口的數據包，將被路由器處理

若是對接口應用了ACL，那麼路由器將對數據包進行該組規則的順序進行檢查。

若是匹配某一條規則路由器將決定該數據包容許或拒絕經過

若是最後沒有任何一條規則匹配，則路由器根據默認的規則將丟棄該數據包。要注意是逐條匹配，按順序來的

標準訪問控制列表的配置：

R1(config)#access-list access-list-number ｛permit丨deny｝ source ｛source wildcard｝

access-list-number：訪問控制列表表號

permit丨deny：知足測試條件，則拒絕/容許經過流量

Source：數據包的源地址，能夠是主機地址或網絡地址

｛source wildcard｝：通配符掩碼，也叫作反碼。在用二進制數0和1表示時，若是爲1代表這一位不須要匹配，若是爲0代表這一位須要嚴格匹配

擴展訪問控制列表的配置：

建立ACL命令語法以下：

R1(config)#access-list access-list-number ｛permit丨deny｝protocol ｛source source-wildcard destination destination-wildcard｝｛operator operan｝

對命令參數的詳細說明以下：

access-list-number：訪問控制列表的表號，對於擴展ACL是100~199

｛permit丨deny｝：當知足條件，則容許或拒絕該流量經過

Protocol：用來指定協議類型，如IP、TCP、UDP、ICMP等

source source-wildcard：源地址和源反掩碼

destination destination-wildcard：目的地址和目的反掩碼

｛operator operan｝：ls（小於）、gt（大於）、eq（等於）或neq（不等於）一個端口號

命名訪問控制列表的配置：

建立ACL的語法命令以下：

R1(config)#ip access-list ｛standard丨extended｝access-list-name

其中access-list-name是ACL的名字，應具備實際意義

｛standard丨extended｝選擇標準ACL或可擴展的ACL

分析在哪一個接口應用標準ACL

路由器對入站接口是先檢查訪問控制列表，對容許的數據包才檢查路由表。而對於外出的數據包先查詢路由表，肯定目標端口後才查看出站的訪問控制列表。因此應該儘可能應用在入站接口，由於效率更高。

也就是靠控制方最近的方向是in方向，若是做爲服務器要限制某個IP訪問本身時應該應用在out方向 

標準ACL、擴展ACL和命名ACL綜合試驗案例

首先搭建拓撲結構，規劃IP地址，鏈接拓撲線路PC機所有使用的是添加網卡

使用軟件GNS3下載地址：http://down.51cto.com/data/991235

GNS3的使用教程在個人網盤：http://pan.baidu.com/disk/home

先配置簡單的最後配置複雜的，下面是路由交換的詳細配置

R1上面的配置

Loopback接口地址123.0.1.1/24 模擬外網地址

下面是標準ACL語句配置，實現網絡192.168.2.0網段容許經過telnet登陸。並配置本地登陸的屬性。而後應用ACL到VTY遠程登陸配置。還有進入特權模式的密碼。

W3上面的配置

首先配置一個管理IP地址，並建立一個VTP域用於共享vlan信息。

建立標準ACL語句，表示容許192.168.2.0網段telnet遠程

SW2上面的配置

配置接口trunk模式、封裝類型並建立一個VTP域

把端口加入到相應的vlan，配置管理IP地址和默認網關，這樣在不是直連的PC機（也就是網關機）上面就能夠遠程登陸進行管理了

SW1上面的配置

首先配置trunk模式，選擇封裝類型。配置各個vlan的管理IP地址。

建立VTP域，配置爲服務模式。

上面建立了一條標準的ACL語句用於遠程telnet管理交換機

下面建立的是爲服務器C4建立的訪問和限制的各類信息。並應用在了路由器的out接口上。

爲C3機建立擴展ACL語句，並應用在VLAN3的in接口上

爲C2機建立擴展ACL語句，並應用在vlan4的in接口上

最後在進行集體查看ACL語句

結果驗證：因爲本次實驗沒有用宿主機和虛擬機。後面又作了一個實驗。實驗結果請看：

配置ACL語句使用宿主機訪問虛擬機的web服務和禁止FTP服務實驗