ACL控制訪問列表原理+實驗

ACL控制訪問列表原理+實驗
1、原理：ACL使用包過濾技術(shù)，在路由器上讀取ISO七層模型的第三層及第四層包頭中的信息，如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則，對包頭進(jìn)行過濾。
2、從上到下逐條匹配，一旦匹配則停止匹配，一條不匹配，執(zhí)行隱含（拒絕）命令。
3、原則上ACL控制訪問列表設(shè)置在進(jìn)端口效率更高
4、ACL的類型有三類：
A、標(biāo)準(zhǔn)ACL，根據(jù)數(shù)據(jù)包的源IP地址來允許或拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包，列表號（1-99）
B、擴展ACL，根據(jù)數(shù)據(jù)包的源IP地址，目的IP地址，指定協(xié)議，端口和標(biāo)志來允許或拒絕轉(zhuǎn)發(fā)數(shù)據(jù)包，列表號（100-199）
C、命名ACL，命名ACL允許在標(biāo)準(zhǔn)和擴展ACL中使用名稱代替列表號
5、標(biāo)準(zhǔn)ACL的命令語法如下：
Router（config）#access-list access-list-number (permit | deny) source (source-wildcard)
Access-list-number :列表號
Permit ：允許 deny：拒絕
Source ：數(shù)據(jù)包的源地址
Source-wildcard ：通配符掩碼，也稱反碼
6、擴展ACL的命令語法如下：
Router（config）#access-list access-list-number source （permit | deny）protocol
（source source-wildcard destination destination-wildcard）(operator operan)
Protocol:指定協(xié)議類型，如，tcp 、 ip、udp 、icmp 等
destination ：目的地址
Operator operan ：It （小于）、gt（大于） 、eq（等于）、neq（不等于）一個端口號
7、命名ACL的命令語法如下：
Router（config）#ip access-list (standard | extended) access-list-name
Standard :標(biāo)準(zhǔn)
Extended：擴展
如：192.168.10.2 0.0.0.0 也可以表示成host 192.168.10.2 0.0.0.0 255.255.255.255 也可以用any 表示
只有將ACL應(yīng)用到接口，ACL訪問控制列表才能生效
命令語法如下：router（config-if）#ip access-group access-liat-number （in |out）
命名ACL的作用是更好的管理訪問控制列表，可增、可減、可根據(jù)Sequence-Number數(shù)字大小來調(diào)整列表順序
如果想要用命名ACL，不管是標(biāo)準(zhǔn)ACL還是擴展ACL，第一步是命名ACL操作
8、根據(jù)標(biāo)準(zhǔn)ACL，擴展ACL，命名ACL.分別做實驗
一、實驗拓?fù)鋱D：

很明顯根據(jù)要求這是一個標(biāo)準(zhǔn)ACL訪問控制列表具體操作如下



實驗拓?fù)鋱D：

很明顯這是需要添加擴展ACL訪問列表，具體操作如下：



實驗拓?fù)鋱D：

具體操作如下：