ACL配置

1.标准ACL配置：
（1）实验拓扑图：
说明：PC1代表经理部的主机，PC2代表销售部门的主机，PC3代表财务部的主机，要求销售部不能对财务部进行访问，但经理部可以对财务部进行访问。
（2）配置：

R0(config)#router ospf 100
R0(config-router)#network 192.168.1.0 0.0.0.255 area 0
R0(config-router)#network 192.168.2.0 0.0.0.255 area 0
R0(config-router)#network 10.0.0.0 0.255.255.255 area 0

R1(config)#router ospf 100
R1(config-router)#network 192.168.3.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.255.255.255 area 0
R1(config-router)#exit
R1(config)#access-list 1 deny 192.168.2.0 0.0.0.255
R1(config)#access-list 1 permit any

2.扩展ACL配置：

（1）实验拓扑图：
说明：要求PC0所在的网络仅能访问服务器的www服务，PC1所在的网络仅能访问服务器的FTP服务，其他计算机都不能访问服务器。
（2）配置：

R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.0.0.0

R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#network 10.0.0.0
R2(config-router)#network 20.0.0.0
R2(config-router)#network 192.168.2.0
R2(config-router)#exit
R2(config)#access-list 100 permit tcp 192.168.1.0 0.0.0255 host 192.168.2.2 eq www
R2(config)#access-list 100 permit tcp 192.168.3.0 0.0.0255 host 192.168.2.2 eq 21
R2(config)#access-list 100 permit tcp 192.168.3.0 0.0.0255 host 192.168.2.2 eq 20
R2(config)#access-list 100 deny tcp any host 192.168.2.2
R2(config)#access-list 100 permit ip any any

R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#network 20.0.0.0
R3(config-router)#network 192.168.3.0

3.总结：
（1）实施ACL过程中应该遵循的两个基本原则：

• 最小特权原则
• 最靠近受控对象原则

（2）确定ACL安置在哪个接口的最佳做法：

• 将标准ACL安置在靠近流量的目的ip地址的位置
• 将扩展ACL尽量安置在靠近流量的源ip地址的位置
• 在不需要的流量通过低带宽链路之前将其过滤掉