ACL精华课程讲解

访问控制列表：

我们知道网络上流淌的都是数据包，数据包进入网络设备和流出网络设备，在进入网络设备和流出网络设备的时候，我们的网络设备可以对数据包进行过滤，以达到安全、控制数据流的目的。

 

●标准IP访问控制列表 一个标准IP访问控制列表匹配IP包中的源地址，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] ●扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型（TCP、UDP）、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

●命名的IP访问控制列表 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

标准访问控制列表：

标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号 permit|deny host ip地址

例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0 .255

通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是 0.0.0 .255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

小提示：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。

 

扩展访问控制列表：

扩展访问控制列表是一种高级的 ACL ，配置命令的具体格式如下：

access-list ACL 号 [permit|deny] [ 协议 ] [ 定义过滤源主机范围 ] [ 定义过滤源端口 ] [ 定义过滤目的主机访问 ] [ 定义过滤目的端口 ]

例如： access-list 101 deny tcp any host 192.168.1.1 eq www 这句命令是将所有主机访问 192.168.1.1 这个地址网页服务（ WWW ） TCP 连接的数据包丢弃

access-list 101 deny tcp any host 192.168.1.1 eq www 也可以这样理解：

动作：满足下列条件的数据包被拒绝，也就是被丢弃

源地址：任何地址

目标地址： 192.168.1.1

目标端口（要访问的服务）： www （也就是 80 ）

协议： 80 端口肯定使用的是 TCP 服务