目录

一、ACL介绍

二、ACL作用

三、ACL工作原理

 四、ACL的两种类型

1.标准访问控制列表

2.扩展访问控制列表

 五、配置步骤及命令

      (一)标准访问控制列表

（二）扩展访问控制列表

     访问控制列表 (ACL)是一种基于包过滤的 访问控制技术 ，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。. 访问控制列表被广泛地应用于 路由器 和 三层交换机 ，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障 网络安全 。. 中文名. 访问控制列表. 外文名. Access Control Lists.

读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选和过滤。

三层头部信息：源、目IP

四层头部信息：TCP/UDP协议 、  源、目端口号

（一） 访问控制列表的调用方向：

                                             入方向：流量将要进入本地路由器，将要被本地路由器处理

                                             出方向：已经被本地路由器处理过，流量将离开本地路由器

（二）策略做好后，在入接口和出接口调用的区别：

入接口调用的话是对本地路由器生效，出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台设备生效。

（三）访问控制列表处理原则：                                    

                                      1、 路由条目只会被匹配一次

                                       2、路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配的

                                       3、路由条目在ACL访问控制列表隐含一个放行所有

                                      4、 ACL访问控制列表至少要放行一条路由条目

只能基于源ip地址进行过滤

标准访问控制列表号是2000-2999

调用原则：靠近目标

可以根据源、目IP，TCP/UDP协议，源、目端口号进行过滤

相比较标准访问控制列表，流量控制的更精准

扩展访问控制列表号是3000-3999

调用原则：靠近源

要求：vlan10客户机不能访问vlan20客户机

L2-SW1

[L2-SW1]vlan bat 10 20 //创建多个vlan [L2-SW1]int e0/0/1 //进入接口e0/0/1  [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10 [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2 [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20 [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3 [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access     [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10 [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4 [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/4]port default vlan 20  //将接口e0/0/4 划分进vlan20 [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1     [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk         [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单，通行所有vlan

R1(AR系列路由器）

 [R1]int g0/0/0 //进入接口g0/0/0 [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口 [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1 [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q，接口g0/0/0.1划分进vlan10 [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度     [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能 [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2     [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q，接口g0/0/0.2划分进vlan20 [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能

[R1]acl 2000 //创建标准访问控制列表，列表号为2000 [R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目（子网掩码为反掩码）      [R1-acl-basic-2000]rule permit source any //放行其他路由条目 [R1]int g0/0/0.2 //进入子接口g0/0/0.2     [R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表2000

 client1

client2

client3

client4

 检测结果：vlan10pingvlan20客户机ip地址

 发送5个包失败5个包 ，说明vlan10客户机不能访问vlan20客户机

    要求：禁止Client1客户机访问FTP服务器

L2-SW1

[L2-SW1]vlan bat 10 20 //创建多个vlan [L2-SW1]int e0/0/1 //进入接口e0/0/1  [L2-SW1-Ethernet0/0/1]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/1]port default vlan 10 //将接口e0/0/1 划分进vlan10 [L2-SW1-Ethernet0/0/1]int e0/0/2 //进入接口e0/0/2 [L2-SW1-Ethernet0/0/2]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/2]port default vlan 20 //将接口e0/0/2 划分进vlan20 [L2-SW1-Ethernet0/0/2]int e0/0/3 //进入接口e0/0/3 [L2-SW1-Ethernet0/0/3]port link-type access//设置接口链路类型为access     [L2-SW1-Ethernet0/0/3]port default vlan 10//将接口e0/0/3 划分进vlan10 [L2-SW1-Ethernet0/0/3]int e0/0/4 //进入接口e0/0/4 [L2-SW1-Ethernet0/0/4]port link-type access //设置接口链路类型为access     [L2-SW1-Ethernet0/0/4]port default vlan 20  //将接口e0/0/4 划分进vlan20 [L2-SW1-Ethernet0/0/4]int g0/0/1 //进入接口g0/0/1     [L2-SW1-GigabitEthernet0/0/1]port link-type trunk //设置接口链路类型为trunk         [L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all //设置白名单，通行所有vlan

R1(AR系列路由器)

 [R1]int g0/0/0 //进入接口g0/0/0 [R1-GigabitEthernet0/0/0]undo shutdown //开启物理接口 [R1-GigabitEthernet0/0/0]int g0/0/0.1 //进入子接口g0/0/0.1 [R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 //封装方式为802.1q，接口g0/0/0.1划分进vlan10 [R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度     [R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启ARP广播功能 [R1-GigabitEthernet0/0/0.1]int g0/0/0.2//进入子接口g0/0/0.2     [R1-GigabitEthernet0/0/0.2]dot1q termination vid 20 //封装方式为802.1q，接口g0/0/0.2划分进vlan20 [R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度 [R1-GigabitEthernet0/0/0.2]arp broadcast enable //开启ARP广播功能 [R1]ip route-static 202.10.10.0 24 12.1.1.2 //配置静态路由，添加目的网段 202.10.10.0，子网掩码长度，下一跳入接口12.1.1.2

[R1]acl 3000//创建扩展访问列表，列表号3000 [R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21 //禁止client访问ftp服务器     [R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq 21 //放行其他客户机访问ftp服务器 [R1-acl-adv-3000]rule permit ip source any destination any //放行其他客户机网络流量 [R1]int g0/0/0.1 //进入接口g0/0/0.1     [R1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 //选择在入接口上调用列表3000

R2

[R2]int g0/0/0 //进入接口 g0/0/0  [R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 //设置IP地址及子网掩码长度 [R2-GigabitEthernet0/0/0]int g0/0/1 //进入接口 g0/0/1  [R2-GigabitEthernet0/0/1]ip add 202.10.10.2 24 //设置IP地址及子网掩码长度      [R2]ip route-static 0.0.0.0 0 12.1.1.1 //设置静态路由，默认路由，下一跳入接口12.1.1.1

FTP服务器

client1

 client2

 client3

client4

检测结果：

 结果：client1客户机不能访问FTP服务