访问控制列表ACL ------标准IP访问列表 （理论+实验）

一、访问控制列表：

（1）访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。
（2）访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

二、功能：

（1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。
（2）提供对通信流量的控制手段。
（3）提供网络访问的基本安全手段。
（4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

三、分类：

（1）标准IP访问列表： 一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

（2）扩展IP访问列表： 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

（3）命名IP访问列表：所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

四、ACL的放置规则：

每一个路由器接口的每一个方向，每一种协议只能创建一个ACL；在适当的位置放置 ACL 可以过滤掉不必要的流量，使网络更加高效。ACL 可以充当防火墙来过滤数据包并去除不必要的流量。ACL 的放置位置决定了是否能有效减少不必要的流量。例如，会被远程目的地拒绝的流量不应该消耗通往该目的地的路径上的网络资源。每个 ACL 都应该放置在最能发挥作用的位置。
基本的规则是：

（1）将扩展 ACL 尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉。

（2）因为标准 ACL 不会指定目的地址，所以其位置应该尽可能靠近目的地。

• 出：已经过路由器的处理，正离开路由器接口的数据包
• 入：已到达路由器接口的数据包，将被路由器处理

五、访问控制列表的处理过程：

六、相关配置命令：

注：所有命令是在全局模式下配置的。
（1）创建ACL：Router(config)#access-list access-list-number { permit | deny} source [source-wildcard ]

• access-list-number :标准ACL号码，范围从0-99
• permit : 允许数据包通过
• deny ： 拒绝数据包通过
• source ： 发送数据包的网络地址或者主机地址
• source-wildcard ： 源ip地址

（2）删除ACL：Router(config)# no access-list access-list-number

（3）关键词：host 、any

（4）将ACL 应用于接口：Router(config-if)#ip access-group access-list-number {in | out}

• ip access-group ：标准ACL号码，范围从0-99
• access-list-number ： 标准ACL号码，范围从0-99
• in ： 限制特定设备与访问列表中地址之间的传入连接
• out ： 限制特定设备与访问列表中地址之间的传出连接

（5）在接口上取消ACL 的应用：Router(config-if)# no ip access-group access-list-number {in | out}

七、具体实验操作：

实验拓扑图：
1、局域网内有两台主机：PC1 和PC2
2、外网有一台主机：PC3
3、实验目的：通过路由器连接，控制ACL列表，使PC2能够访问PC3，但是PC1不能访问PC3

第一步：先配置交换机（关闭路由功能；配置全双工，速率）

第二步：配置路由器R2

第三步：给各个PC机配IP地址，并检查pc1和pc2能否ping通过pc3



第四步：创建ACL，并将ACL应用于 f0/0

第五步：验证试验结果
此时PC1 应该不能与PC3 互通，但是没有限制的PC2依据可以ping通PC3。

本篇博客会先实验展示标准IP访问列表，扩展IP下篇博客会详细描述。