ACL 访问控制列表

实验项目：
1.理解ACL的基本原理 2.会配置标准，扩展，命名ACL。3.综合应用ACL
在学习过程中我们知道了网络的联通和通信，但是在实际环境中网络管理员经常会面临为难的局面，如必须拒绝那些不希望访问的连接，同时又要允许正常的访问。那么这时就诞生了ACL（访问控制列表）下面我们先看看ACL 的原理。
1.ACL是使用包过滤技术，在路由器上读取第三层和四层包头的信息，根据预定好的规则进行过滤，达到访问控制的目的

2.ACL的3中模式：
1标准ACL （根据数据包的源IP地址来允许或者拒绝数据包，表号是1~99）
2扩展ACL （根据数据包的源IP地址，目的IP地址，指定协议，端口和标志来允许或拒绝，表号是100~199）
3命名ACL （允许在标准和扩展ACL中使用名称来代替列表好）

3.ACL的工作原理：ACL是一组规则的集合，它应用在路由器上的接口，对与接口它有“出”和“入”两个方向。如果对接口应用了ACL，那么路由器对数据包应用该规则进行顺序检查。如果第一条规则匹配，那么就直接通过，不再需要检查。如果没有匹配，那么就会依次往下检查。到最后还没有的话，路由器将会根据默认的规则丢弃改数据包。一句话来说就是：要么允许通过，要么被拒绝。

实验经过：
1》上面我们简述了原理和一些重点，那么接下来我们来做一个ACL的综合实验。首先我们在GNS3中搭建号拓扑图，标记上IP的信息，方便我们配置，还有就是记住规则的顺序。规则的顺序很重要。如下图：

2》拓扑图搭建好了，我们来分析下需要做些什么。在SW上我没有太多要做的，只需要配置好全双工和速率。但是在R2上我们需要把端口IP配置好，并且注意ACL的要求，和最后应用在接口是该在那么方向。Sw上的配置这里就不演示了，直接配置R2。如下图：

3》端口IP和全双工，速率都配置好了，下面我们来配置规则。如下图：

4》以上是我们允许了两台主机通过，最后我们需要拒绝最后一台访问，并且需要把这个协议应用在IN的端口方向。如下图：

5》到这里，这个实验结束，我们可以通过ping来验证。如下图：

6》到这里表明实验成功，这里还需要注意的是，我们可以先查看一下列表，每一条规则都有序号，代表路由器先后的查看顺序。如下图：

7》总结：
1.上图的ACL列表信息，再加上路由器对ACL的工作原理，那么我们可以得知的是，规则的顺序很重要，用这个实验来说，如果还需要添加其他规则的，那么你的序号需要小于30。如果大于30，路由器匹配到这里就会自动丢弃这个数据包。

2.我们需要熟悉一定的协议，如：TCP IP UDP ICMP 等
3.最后我们需要将配置号的规则用于接口，同时注意是用在IN接口还是OUT接口
4.需要注意的是HOST后面是跟一个具体的IP地址，否则后面就需要跟反掩码。
5.ACL有三种类型：1标准ACL 2扩展ACL 3命名ACL
6.熟悉ACL通过路由的工作原理，这样更好理解规则。

转载于:https://blog.51cto.com/13746824/2128563