1.ACL概述
(1)、ACL全称访问控制列表(Access Control List)
(2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的
(3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段
(4)、功能:网络中的结点分为资源结点和用户结点两大类,其中资源结点提供服务或数据,而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点,阻止非法用户对资源结点的访问;另一方面限制特定的用户结点对资源结点的访问权限
(5)、ACL的访问顺序
a、按照各语句在访问列表的顺序,顺序查找,一旦找到了某一匹配条件,就结束匹配,不再检查后面的语句。
b、如果所有语句都没有匹配,在默认情况下,虽然看不到最后一行,但最后总是拒绝全部流量的
2.ACL的分类
(1) 标准ACL(基于源IP地址过滤数据包,列表号取值范围1-99)
第一步:创建ACL
命令格式:access-list access-list-number { permit | deny } source [source-wildcard]
(Access-list-number 表示列表号,范围为1~99)
([ source-wildcard] 表示针对源IP进行控制)
应用实例:access-list 1 permit 192.168.1.0 0.0.0.255
第二步:将ACL应用于接口
命令格式:ip access-group access-list-number {in | out}
下面是其他ACL操作:
1)删除ACL
命令格式:no access-list access-list-number
2)在接口上取消ACL的应用
命令格式:no ip access-group access-list-number {in | out}
下面做一个简单的标准访问控制列表:
R2的配置:
R1的配置:
先配置接口IP地址
PC1的配置:
PC2的配置:
PC3的配置:
先进行ping,确定互通:
配置ACL:
先创建ACL
(拒绝主机PC1访问PC3):access-list 1 deny host 192.168.10.2
(允许其他所有主机访问PC3):access-list 1 permit any
在ACL应用于接口上
(进入接口模式):int f0/0
(应用接口):ip access-group 1 in
最后用PC1和PC2进行pingPC3
PC1pingPC3不同
PC2pingPC3相通
简单实验成功!
来源:CSDN
作者:Yplayer001
链接:https://blog.csdn.net/Yplayer001/article/details/102572419