提升三层网络的安全性——任务1访问控制列表（ACL）

最常用的访问控制列表有2种，分为标准ACL和扩展ACL。

标准ACL：

主要特点：便捷，只监控数据包的源IP地址 ，决定是否过滤或放行 。  

扩展ACL：

主要特点： 功能更加强大，可以监控协议，源IP地址，目的IP地址，端口号，时间等等，决定是否过滤或放行。

1.配置标准ACL： 

.标准ACL: access-list-number编号1~99之间的整数，只针对源地址进行过滤。

我们将通过配置标准ACL来让192.168.10.0不能访问192.168.20.0，而允许其他网络访问。 

1.首先测试192.168.10.0与192.168.20.0的通信情况 ，那么我们看到是可以通信的

2.在三层交换机上配置标准ACL，配置如下： 

第一条命令，拒接了源地址192.168.10.0网络的流量。

第二条命令，是允许其他所有流量通过

注意事项： ACL检查是自上而下的，直到匹配相应的规则。注意命令的配置循序，如果第二条与第一条的命令配置相反，那么所有的流量都会被拒接通过。原因是ACL末尾会隐含拒接所有网络通过的语句，标准ACL的末尾隐含的是deny any 语句。

那么我们的配置循序是要正确的，先拒接192.168.10.0的网络的流量，然后在后面加上一条permit语句，让所有的网络通过。否则ACL的末尾隐含的语句会拒接所有的网络通过。 

我们可以通过命令来检查一下ACL条目

那么接下来我们ping一下192.168.20.0 

可以看到192.168.10.0与192.168.20.0依然可以通信，那么在配置ACL后并没有马上的生效，还需要在端口或者其他地方调用

这里说明一下ACL有2个方向in和out，in是指数据包流入应用端口，out是指数据包流出应用端口。 

那么我们在vlan20端口应用ACL配置

 

结果

可以看到目标网络无法到达，说明了标准ACL配置成功了 。

2.配置扩展ACL：

扩展ACL: access-list-number编号100~199之间的整数

为了能节约资源的空间，在vlan 10端口的in方向拒绝192.168.10.0的网络

要求一样是192.168.10.0不能通信192.168.20.0

扩展ACL末尾隐含的语句是deny ip any any ，所以我们要添加一条permit语句 

接下来在vlan 10 ，in方向应用ACL

结果

那么关于标准ACL和扩展ACL的配置已经完成了