标准ACL和扩展ACL的应用实例

       访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机。本文通过2个实例，介绍标准ACL和扩展ACL的使用方法。

       在介绍案例之前，我们先来了解一下什么是标准访问控制列表和扩展访问控制列表：

       标准访问控制列表比较简单，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，在思科的路由器里使用的访问控制列表号1到99以及1300到1999来创建相应的ACL。

       扩展访问控制列表功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数。在思科路由器里，扩展访问控制列表使用的ACL号为100到199以及2000到2699。

 

案例一：标准ACL应用实例

一、组网结构及需求

       某企业总部在北京，广州有一分公司，通过专线连接到北京总部。广州分公司有管理者和普通员工两个网段，要求在路由器的接口上通过ACL进行控制，让管理者网段可以访问北京公司的数据库，但普通员工禁止访问北京公司数据库。

二、配置方法

1、广州公司路由器的数据配置
interface FastEthernet0/0
 ip address 10.10.10.1 255.255.255.0
 duplex auto
 speed auto

interface Serial0/0
 description to beijing
 ip address 192.168.1.1 255.255.255.252
 encapsulation ppp

interface FastEthernet0/1
 ip address 20.20.20.1 255.255.255.0
 duplex auto
 speed auto

ip route 0.0.0.0 0.0.0.0 192.168.1.2

其他路由器的详细配置请查看原文链接：标准ACL和扩展ACL的应用实例

转载于:https://blog.51cto.com/daotianquan/592652