目录

一、访问控制列表

1.1 概念

1.2 工作原理

1.3 工作过程

1.4 访问控制列表分类（思科设备）

1.5 配置标准访问控制列表

1.5.1配置方法一

1.5.2 配置方式二

1.5.3 应用到接口

1.5.4 查看效果

---

一、访问控制列表

标准的访问控制列表ACL

• ACL的基本概念

主要是基于主机，通过IP设备进行标识·

1.1 概念

什么是访问控制列表

一种基于包过滤的访问控制技术、拆的是网络层IP地址，广泛应用于路由器和三层交换机中，有效的控制用户（主机）的访问，基于数据包的五元组进行过滤（源ip、目标ip、源端口、目的端口、协议）

读取三层和四层的流量，三层（网络层）主要读取源ip和目的IP，四层（传输层）主要读取源端口，目的端口

1.2 工作原理

路由器处理数据流量走向问题（确定路由器的入口或出口）

建议是将标准ACL一般配置在靠近源IP的位置，即入口，减少路由器路由的工作量

1.3 工作过程

数据包到达路由器后，查看访问控制列表，匹配规则，有没有源ip是xxx去往xx，如果有匹配，看是允许还是拒绝，如果没有匹配默认拒绝。有一条默认的ACL deny any any

1.4 访问控制列表分类（思科设备）

标准：基于源ip地址进行控制，表号1~99

扩展：基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号：100~199

命名：没有表号，使用名字作为表号，直接使用standard标识标准ACL、和extended标识扩展ACL

1.5 配置标准访问控制列表

搭建如下拓扑，完成ip地址的分配和设置，配置前确保所有主机能够互通

思路：在路由器上配置:拒绝PC2允许PC1，然后应用到接口，配置要注意先拒绝再配置允许的主机，因为ACL是从上往下匹配的。

1.5.1配置方法一

最常用的方式是写host

Router(config)#access-list ?
 
<1-99> IP standard access list
 
<100-199> IP extended access list
Router(config)#access-list 11 deny ?   //此处11是ACL的表号
A.B.C.D Address to match
any Any source host
host A single host address
Router(config)#access-list 11 deny host 192.168.10.10
Router(config)#access-list 11 permit host 192.168.10.20
Router(config)#access-list 11 permit any //允许所有其他主机

网段                           标识主机要用32位子网

192.168.10.0            192.168.10.10

255.255.255.0           255.255.255.255

1.5.2 配置方式二

ACL配置采用反码

Router(config)#access-list 11 deny 192.168.10.10 0.0.0.0
 
Router(config)#access-list 11 permit 192.168.10.20 0.0.0.0

1.5.3 应用到接口

Router(config)#int g0/0

Router(config-if)#ip access-group ?

<1-199> IP access list (standard or extended)

WORD Access-list name

Router(config-if)#ip access-group 11 in

In 表示入口，g0/0对于PC2和PC1来讲是入口方向

总结：

access-list  表号 deny/permit host ip

access-list  表号 deny/permit ip 反掩码 

int 接口

ip access-group 表号 in/out

in表示此接口为入口，一般配置在in

1.5.4 查看效果