ACL 访问控制列表

ACL主要功能:

1. 流量控制
2. 匹配感兴趣的流量

ACL类型：

1. 标准访问控制列表
2. 扩展访问控制列表

ACL仅能对穿越的流量做限制，由路由器自身发送的不会被限制

在某些情况下，我们希望接入同一台路由器的两台主机，一台能正常访问，另一台禁止访问。

标准访问控制列表

• 只根据源地址做给过滤
• 针对整个协议采取相关动作

只根据源地址做给过滤 例如，路由器希望限制PC A访问子网B是可以的，但如果希望仅限制访问子网B中的PC K是不行的，要么全禁要么全开

针对整个协议采取相关动作 你不能说禁了PC B的HTTP协议流量，不禁其他协议的流量。一旦禁，就一定会全部禁止

扩展访问控制列表

• 能够根据源、目的地地址、端口号等进行过滤
• 能允许或拒绝特定的协议

扩展访问控制列表算是对标准访问的弥补

进站与出站

![[Pasted image 20220603203642.png]] ACL的判定分为进站和出站两种，对应的是in和out，如果端口设置是out，那么从该端口进站的流量不会受限制，只有进站流量对上in规则才会去判断是否符合条件触发

ACL标准设置

Router(config)#access-list [ACL标识] [允许/拒绝] [源地址] 例如: access-list 1 permit 192.168.1.0 0.0.0.255 注意，语句是分顺序的！语句1比语句10优先级更高，如果没有匹配上任何语句则丢弃。因此，当配置ACL时，请确保至少有一条permit配置在末尾 access-list 1 permit any

no access-list [ACL标识]用于删除整个ACL列表

配置完ACL表后，还要将表应用在接口上。需要interface f 0/0进入要配置的接口然后输入 Router(config-if)#ip access-group [ACL标识] {in|out}

ACL标识

通配符

如上图，我们希望将192.168.1.1~7全部禁掉，如果我们一条条写肯定很麻烦！因此我们需要用到通配符，可以缩减成一条指令access-list 1 deny 192.168.1.0 0.0.0.7

ACL扩展设置

由于扩展比标准的功能更加复杂，因此指令也比较繁琐。 access-list 100 {permit|deny} 协议号 源地址 通配符 目的地地址 通配符

例子