ACL访问控制列表

ACL访问控制列表

1.基本定义

访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。

2. ACL概述

1） 收发数据时可以根据数据报文的IP头部和TCP/UDP头部来进行数据预处理
2） 路由器工作流程：从一个端口收到数据---->预处理（用ACL判断是否接收，IN方向）---->查路由表看从哪个端口出---->发送预处理（用ACL判断是否允许发送，OUT方向）---->从选择到的端口转发出去
3） ACL：一组规则，数据预处理就是从上往下逐条规则进行比对，如果发现有一条规则匹配上了，就执行规则规定的操作，然后退出预处理。如果全都不匹配，呢就不做任何处理。
4） 规则是怎么定义的？
标准ACL：条件—满足条件后执行的行为
例如：条件是来自IP 192.168.0.1，执行的行为是拒绝通过（deny）
5） ACL可以应用到出、入两个方向

3.功能

1）限制网络流量、提高网络性能。
2）提供对通信流量的控制手段。
3）提供网络访问的基本安全手段。
4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

4.分类

1）标准ACL
a. 用数字编号，范围1~99
b. 只针对于发送者的源IP地址进行判断
c. 语法：access-list 1 permit/deny source
如果只针对一个地址，源可以写成 host 192.168.0.1
如果只针对一个网段，源可以写成 192.168.0.0 0.0.0.255（反掩码）
如果只针对所有地址，源可以写成 any

R1配置：


access-list 1 deny host 192.168.2.2 （拒绝PC2进行访问）
access-list 1 permit any （允许其他任何）
2)扩展ACL
a. 用数字编号，范围100~199
b. 针对于协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等进行判断

（ 用C3640模拟电脑主机）
SEVER配置：


default gateway 8.8.8.1 （设置网关）
R1配置：


access-list 101 permit tcp host 192.168.0.1 host 8.8.8.8 eq 23
（建立扩展ACL101允许源主机192.168.0.1访问目标主机8.8.8.8的23端口）
access-list 101 deny tcp any host 8.8.8.8 eq 23
（建立扩展ACL101拒绝任何主机访问目标主机8.8.8.8的23端口）
access-list 101 permit ip any any
（建立扩展ACL101允许访问任何主机的ip）
int f1/0
ip access-group 101 in
（在 f1/0入口的方向上应用扩展ACL101）
R2配置：

PC1配置：

PC2配置：

3）命名ACL
以列表名代替列表编号来定义IP访问控制列表