一、什么是ACL

1.作用

读取三层，四层头部信息，根据预先定义好的规则对流量进行筛选过滤。
三层头部信息：源、目IP
四层头部信息：TCP/UDP协议、源、目端口号

2.访问控制列表的调用方向

入：流量将要进入本地路由器，将被本地路由器处理
出：已经被本地路由器处理过了，流量将离开本地路由器

3.策略做好后在入接口调用和出接口调用的区别

入接口调用的话，是对本地路由器生效
出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效

4.访问控制列表的处理原则

1.路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3.ACL访问控制列表隐含一个拒绝所有
4.ACL访问控制列表至少要放行一条路由条目

5.访问控制列表类型

1）标准访问控制列表

只能基于源IP地址进行过滤
标准访问控制列表的列表好是2000~2999
调用原则：靠近目标

2）扩展访问控制列表

可以根据源、目IP地址，TCP/UDP协议，源目端口号进行过滤
相比较标准访问控制列表，流量控制的更加准确
扩展访问控制列表的列表号是3000~3999
调用原则：靠近源

二、配置

1.标准访问控制列表

在这里插入图片描述
要求做到使用acl使vlan10不能与vlan20通信
L2-SW1：

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname L2-SW1                  改名为L2-SW1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int e0/0/1                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/2                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int e0/0/3                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/4                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int g0/0/1                            进入接口
	[]port link-type trunk                   设置链路类型为trunk
	[]port trunk allow-pass vlan all   设置白名单允许所有vlan通过

R1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R1                       改名为R1 
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	[]int g0/0/0                            进入接口
	[]undo shutdown                     开启接口
	[]int g0/0/0.1                           进入虚拟接口g0/0/0.1
	[]dot1q termination vid 10        封装方式为802.1q，划分就进vlan10
	[]ip add 192.168.10.1 24         设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	[]int g0/0/0.2                              进入虚拟接口g0/0/0.2
	[]dot1q termination vid 20        封装方式为802.1q，划分就进vlan20
	[]ip add 192.168.10.1 24           设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	q
	[]acl 2000                                 创建标准控制列表，列表号为2000
	[]rule deny source 192.168.10.0 0.0.0.255   拒绝192.168.10.0网段（子网掩码为反掩码）
	[]rule premit source any                放行其他路由条目
	[]int g0/0/0.2
	[]traffic-filter outbound acl 2000

pc机配置：
pc1：192.168.10.10 255.255.255.0 192.168.10.1
pc2：192.168.20.10 255.255.255.0 192.168.20.1
pc3：192.168.10.20 255.255.255.0 192.168.10.1
pc4：192.168.20.20 255.255.255.0 192.168.20.1
测试
进入client1 ping client2 ping不通
进入client1 ping client3 能 ping通
进入client1 ping client4 ping不通
进入client2 ping client3 ping不通
进入client2 ping client4 能 ping通
进入client3 ping client4 ping不通

2.扩展控制列表

在这里插入图片描述

要求做到使用扩展控制列表使client1不能与外服务器通信
L2-SW1：

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname L2-SW1                  改名为L2-SW1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int e0/0/1                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/2                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int e0/0/3                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 10            划分进vlan10
	[]int e0/0/4                            进入接口
	[]port link-type access          设置链路类型为access
	[]port default vlan 20            划分进vlan20
	[]int g0/0/1                            进入接口
	[]port link-type trunk                   设置链路类型为trunk
	[]port trunk allow-pass vlan all   设置白名单允许所有vlan通过

R1:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R1                       改名为R1
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int g0/0/0                            进入接口
	[]undo shutdown                     开启接口
	[]int g0/0/0.1                           进入虚拟接口g0/0/0.1
	[]dot1q termination vid 10        封装方式为802.1q，划分就进vlan10
	[]ip add 192.168.10.1 24         设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	[]int g0/0/0.2                              进入虚拟接口g0/0/0.2
	[]dot1q termination vid 20        封装方式为802.1q，划分就进vlan20
	[]ip add 192.168.10.1 24           设置IP地址和子网掩码长度
	[]arp broadcast enable              开启arp广播
	q
	[]acl 3000                                 创建标准控制列表，列表号为2000
	[]rule deny tcp source 192.168.10.10 0.0.0.0  destination 202.10.100.100 0.0.0.0 		destination-port eq 21    禁止PC1访问FTP访问
	[]rule permit tcp source any destination any destination-port eq 21
	[]rule premit ip source any  destination any              
	[]int g0/0/0.1
	[]traffic-filter inbound acl 3000
	q
	[]int g0/0/1
	[]ip add 12.1.1.1 24
	[]undo shutdown
	q
	[]ip route-static 0.0.0.0 0 12.1.1.2

R2:

	<>undo terminal monitor       关闭弹窗信息
	<>system-view                       进入系统视图
	[]sysname R2                       改名为R2
	[]user-interface console 0      进入console 0接口
	[console0]idle-time 0 0        设置会话永不超时
	q
	[]int g0/0/0
	[]ip add 12.1.1.2 24
	[]undo shutdown
	[]int g0/0/1
	[]ip add 202.10.100.2 24
	[]undo shutdown
	q
	[]ip route-static 0.0.0.0 0 12.1.1.1

配置pc，和服务器
pc1：192.168.10.10 255.255.255.0 192.168.10.1
pc2：192.168.20.10 255.255.255.0 192.168.20.1
pc3：192.168.10.20 255.255.255.0 192.168.10.1
pc4：192.168.20.20 255.255.255.0 192.168.20.1
server1：202.10.100.100 202.10.100.2
测试
client1登入server1：登不上
client2登入server1：能登上
client3登入server1：能登上
client4登入server1：能登上