标准ACL和高级ACL

原理概述:
访问控制列表ACL是由permit或deny语句组成的

ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这些规则判断哪些数据包可以通过，哪数据包需要拒绝。按照访问控制列表的用途，可以分为基本的访问控制列表和高级的访问控制列表，基本ACL编号为2000-2999.
—个ACL可以由多条"permit/deny"语句组成，每一条语句描述一条规则，每条规则有一个Rule-ID.
Rule-ID可以由用户进行配置，也可以由系线自动生成、默认步长为5，Rule-id默认按照配置先后顺序分配0、5、10、15等，匹配顺序按照ACL的Rule-id的顺序，从小到大进行匹配。

实验：配置标准acl，限制R1访问R4，其他路由器可以访问

拓扑

环境:

网络畅通，

第一步：

在R4上开启vty隧道
[R4]user-interface vty 0 4
[R4-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):huawei

第二步，测试

只要网络通，谁都可以访问

第三步，定义acl限制R1的访问

[R4]acl 2000
[R4-acl-basic-2000]rule 5 deny source 10.0.12.0 0.0.0.255 //拒绝来至10.0.12.0网段的访问
[R4-acl-basic-2000]rule 10 permit source any   //允许其他所有网段的访问

[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 2000 inbound   //调用规则

acl rule规则按照从小到大的顺序执行，也就是，先执行小的规则，如果我先定义了，允许所有网段访问，再定义拒绝某一网段访问，拒绝的规则不会生效

第四步，测试

可以看到，R1不能访问了

高级ACL

原理概述:
基本的ACL只能用于匹配源IP地址，而在实际应用中往往需要对数据包的其他参数进行匹配，比如目的IP地址、协议号、端口号等，所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表
高级的访问控制列表在匹配上做了扩展．编号茨围为3000~3999即可使用报文的源IP地址，也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息米定义规则。

高级acl相比标准acl ，更安全，因为它不仅限制谁可以来，还可以限制来的人能到那里去

实验，新加一台路由器R5，在R4上配置回环口地址lo0 4.4.4.4，使R5可以访问4.4.4.4，不能访问10.0.24.4

拓扑

配置网络，ospf宣告

测试： 

 

现在除了被标准acl限制的R1，其他路由器都可以访问R4，现在设置高级acl，只允许 R5访问4.4.4.4

[R4]acl 3000
[R4-acl-adv-3000]rule 5 permit ip source 10.0.25.0 0.0.0.255 destination 4.4.4.4 0.0.0.0 //允许10.0.25.0网段访问4.4.4.4 

不允许就是拒绝
[R4]user-interface vty 0 4
[R4-ui-vty0-4]acl 3000 inbound 

 可以看到，R2现在，访问不了R4

那我们可以在高级acl中在定义一条规则，允许R2访问10.0.24.4
[R4]acl 3000    
[R4-acl-adv-3000]rule 10 permit ip source 10.0.24.0 0.0.0.255 destination 10.0.24.4

可以看到R2可以访问R4的10.0.24.4了

优先执行高级的acl，吧！，我也不是很清楚，反正可以一块用，也不冲突