ACL原理及配置

什么是ACL？
ACL又叫访问控列表，是应用在路由器接口上的指令列表。
ACL的主要作用：
1.对数据包做一些访问控制，比方丢弃，放行等。
2.ACL可以结合其他协议（传输层：TCP 、UDP通过端对端进行通信）、匹配范围。控制协议的流量是否通过。
配置：ACL在路由器上配置，或者在三层交换机上进行配置。
可以理解为ACL也就是控制用户或进程对计算机系统或网络中资源的访问权限。它可以限制谁可以访问、何时可以访问以及访问所允许的操作类型。
总结：ACL就是访问控制，就是用来确定流量是否可以通过。通过----->放行，不通过------>丢弃。
ACL的概念：
1、ACL可以配置多条策略
2根据报文来进行匹配和区分的
ACL的组成：
ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit（允许）或deny（拒绝）就是与这条规则相对应的处理动作。
基本ACL:2000-2999 只能与源ip地址进行匹配。
高级ACL：3000-3999可以匹配源ip、目标ip、源端口号、目标端口号，以及三层和四层的协议字段（三层协议icmp ；四层协议：tcp udp）
4000-4900：根据数据包的源mac地址和目的mac地址，802.lq优先级，二层协议。（-------->用的不多）
步长默认为5，下一跳为10（每新增一条+5）
ACL的匹配原则是？
基本ACL：尽量用在靠近目的地
高级ACL：尽量用在靠近源的地方，主要目的：保护带宽
多条策略的匹配原则：
1.与vlan有相同之处，有则匹配，无则放行。
2.多条中匹配到第一条之后，后续相同的将不再进行匹配。
通配符：
匹配规则：可变1（随机）；不可变0（匹配）
举例：172.16.40.0/24 匹配子网当中16 20 24 28
00000000 0
00010000 16
00010100 20
00011000 24
00011100 28
00001100 ====12
反掩码：0.0.0.12
ACL的实验：
拓扑图：

实现第一个目标：仅允许pc1访问192.168.2.0/24网络（即仅允许pc1访问pc3）：

Pc1pingPc3：通过

Pc2pingpC3失败--------->成功

客户端pingPc3失败---------->成功
2、禁止192.168.1.0/24网络ping Web服务器

Pc1ping不通------>成功

Pc2ping不通------>成功

客户端ping不通------>成功

3、仅允许Client 访问WEB服务器的www服务

设置服务器：

成功：