ACL——标准访问控制列表

1.ACL概述

（1）、ACL全称访问控制列表（Access Control List）

（2）、基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、协议口、端口号等），根据预先定义好的规则对包进行过滤，从而达到控制的目的

（3）ACL目的：限制网络流量、提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段

（4）、功能：网络中的结点分为资源结点和用户结点两大类，其中资源结点提供服务或数据，而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点，阻止非法用户对资源结点的访问；另一方面限制特定的用户结点对资源结点的访问权限

（5）、ACL的访问顺序

a、按照各语句在访问列表的顺序，顺序查找，一旦找到了某一匹配条件，就结束匹配，不再检查后面的语句。

b、如果所有语句都没有匹配，在默认情况下，虽然看不到最后一行，但最后总是拒绝全部流量的

2.ACL的分类

（1） 标准ACL（基于源IP地址过滤数据包，列表号取值范围1-99）

第一步：创建ACL

命令格式：access-list access-list-number { permit | deny } source [source-wildcard]
（Access-list-number 表示列表号，范围为1~99）
（[ source-wildcard] 表示针对源IP进行控制）

应用实例：access-list 1 permit 192.168.1.0 0.0.0.255

第二步：将ACL应用于接口
命令格式：ip access-group access-list-number {in | out}

下面是其他ACL操作：
1）删除ACL
命令格式：no access-list access-list-number

2）在接口上取消ACL的应用
命令格式：no ip access-group access-list-number {in | out}

下面做一个简单的标准访问控制列表：

R2的配置：

R1的配置：
先配置接口IP地址

PC1的配置：

PC2的配置：

PC3的配置：

先进行ping，确定互通：

配置ACL：
先创建ACL
（拒绝主机PC1访问PC3）：access-list 1 deny host 192.168.10.2
（允许其他所有主机访问PC3）：access-list 1 permit any

在ACL应用于接口上
（进入接口模式）：int f0/0
（应用接口）：ip access-group 1 in

最后用PC1和PC2进行pingPC3
PC1pingPC3不同

PC2pingPC3相通

简单实验成功！