ACL訪問控制列表——標準IP訪問列表(理論+實驗)

ACL訪問控制列表的功能

1.限制網絡流量、提升網絡性能
2.提供對通訊流量的控制手段
3.提供網絡訪問的基本安全手段
4.在網絡設備接口處，決定哪一種類型的通訊流量被轉發、哪一種類型的通訊流量被阻塞

ACL的工做原理

1.訪問控制列表在接口應用的方向
出方向：已通過路由器的處理，正離開路由器接口的數據包
入方向：已達到路由器接口的數據包，將被路由器處理
列表應用到接口方向與數據方向有關

ACL規則

1. 從上到下依次匹配
2. 一旦被某條ACL匹配，則中止查找
3. 依照上兩條規則，ACL的精確或者嚴格規則寫在最上面
4. 默認的ACL包含隱藏一條deny all ，即默認狀況是拒絕全部數據
5.acl是做用在接口上的

基本的規則是：
（1）將擴展 ACL 儘量靠近要拒絕流量的源。這樣，才能在不須要的流量流經網絡以前將其過濾掉。

（2）由於標準 ACL 不會指定目的地址，因此其位置應該儘量靠近目的地。

出：已通過路由器的處理，正離開路由器接口的數據包
入：已到達路由器接口的數據包，將被路由器處理

ALC訪問控制列表的類型

標準訪問控制列表

• 基於源IP地址過濾數據包
• 標準訪問控制列表的訪問控制列表號是1-99
  擴展訪問控制列表
• 基於源IP地址、目的IP地址、指定協議、端口和標誌來過數據包
• 拓展訪問控制列表的訪問控制列表號100-199
  命名訪問控制列表
• 命名訪問控制列表容許在標準和擴展訪問控制列表中使用名稱代替表號

  ACL配置相關命令

  全部的命令都是在全局模式下配置
  建立ACL

  Router(config)#access-list access-list-number { permit | deny} source [source-wildcard ]
  access-list-number :標準ACL號碼，範圍從0-99
  permit : 容許數據包經過
  deny ： 拒絕數據包經過
  source ： 發送數據包的網絡地址或者主機地址
  source-wildcard ： 源ip地址

刪除ACL

Router(config)# no access-list access-list-number

關鍵詞

host 、any

將ACL 應用於接口

Router(config-if)#ip access-group access-list-number {in | out}
ip access-group ：標準ACL號碼，範圍從0-99
access-list-number ： 標準ACL號碼，範圍從0-99
in ： 限制特定設備與訪問列表中地址之間的傳入鏈接
out ： 限制特定設備與訪問列表中地址之間的傳出鏈接

在接口上取消ACL 的應用

Router(config-if)# no ip access-group access-list-number {in | out}

實際操做

詳細配置
一、拓撲圖中三臺PC機(VPCS)
二、兩臺路由器其中一臺更更名稱爲"SW",並添加二層業務單板(NM-16ESW)
實驗目的：經過ACL訪問控制列表PC2訪問PC3，而PC1不能訪問PC3

第一步、配置交換機

第二步、進入路由器R1進行配置

查看IP地址配置狀況

第三步、分別給三臺PC機配置IP地址並測試互通性


第四步、建立ACL控制列表，並將ACL應用到f0/0接口

第五步、測試實驗結果