ACL访问控制列表

ACL访问控制列表

ACL是一张表，每张ACL可包含多个条目 每个条目需要做permit/deny动作

作用：

1.控制数据流量
2.抓取感兴趣流量

分类：

1.标准ACL：检查数据源IP地址
2.扩展ACL：检查数据协议、源目IP地址（上层协议）

写法：

1.编号 1-99为标准ACL 100-199为扩展ACL

匹配规则

从上到下依次匹配，一旦匹配不再向下查询，末尾隐藏拒绝所有
当列表中的所有条目都为允许时，最后一条隐藏为拒绝所有人
当列表中的所有条目都为拒绝时，最后一条必须为允许其他人

方向： in/out

示例：

1.标准ACL

首先PC0要访问PC1，router0-2起EIGRP，全网路由可达
PC0为源，PC1为目标
标准ACL在靠近目标的位置，也就是在Router2上面配置

Router2

**抓取流量**
R3(config)#access-list 1 deny 172.16.1.2 0.0.0.0 （通配符）
R3(config)#access-list 1 permit any
**调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group 1 out

此时pc0无法访问pc1

2.标准命名ACL

命名的ACL可以放小号

Router2

**命名写法**
R3(config)#ip access-list standard ccna
R3(config-std-nacl)#deny 172.16.1.0 0.0.0.255
R3(config-std-nacl)#permit any
**接口调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group ccna out

查看ACL匹配情况
show access-lists

放小号

**命名写法**
R3(config)#ip access-list standard ccna
R3(config-std-nacl)#10 deny 172.16.1.0 0.0.0.255
R3(config-std-nacl)#permit any
**放小号**
R3(config-std-nacl)#5 permit 172.16.1.2 0.0.0.0
                &&(R3(config-std-nacl)#5 permit host 172.16.1.2) HOST代表主机，HOST不用写通配符
**调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group ccna out

3.扩展ACL（100-199）

在靠近源的位置配置

Router0

**扩展ACL**
R1(config)#access-list 100 deny ip host 172.16.1.2（源） host 192.168.1.2（目标）
		       &&R1(config)#access-list 100 deny ip 172.16.1.2 0.0.0.0 192.168.1.2 0.0.0.0
R1(config)#access-list 100 permit ip any(源) any(目标)
**调用**
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in 

4.扩展命名ACL

**扩展命名写法**
R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny ip host 172.16.1.2 host 192.168.1.2
R1(config-ext-nacl)#permit ip any any
**调用**
R1(config)#interface f0/0
R1(config-if)#ip access-group ccnp in