一定义及作用

定义：它是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

作用：读取三层四层信息，根据预先定义好的规则对流量进行过滤，筛选。

三层信息包括（源目IP）四层信息包括（tcp/udp协议源目端口号）

mark

二 ACL的处理原则?

调用ACL的出入接口区别

出：已经被本地路由器处理过了，流量将离开本地路由器；

入：流量将要进入本地路由器，将被本地路由器处理；

策略做好后，在入接口调用和出接口调用的区别：

（1）入接口调用的话，是对本地路由器生效；

（2）出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台路由器生效；

所谓的接口的出和入方向和流量的走向有关系。
mark

?处理原则

1.ACL是从上至下逐条匹配，一旦匹配成功则不再向下匹配。

2.ACL包含的规则是分为华为ACL隐含规则是允许所有，思科的是拒绝所有

3.路由器的一个接口一个方向最多只可以应用一个ACL，但是可以有N条条目。

mark

三 ACL分类

（1）标准访问控制列表：

只能基于源IP地址进行过滤；

标准访问控制列表的列表号是：2000--2999

调用原则：靠近目标

（2）扩展访问控制列表：

可以根据源、目IP地址，TCP/IP协议，源、目端口号进行过滤；

相比较标准访问控制列表，流量控制的更加精确；

扩展访问控制列表的列表号是：3000--3999

调用原则：靠近源
?

四案例

拓扑图

?步骤

配置二层交换机

二层交换机SW1：
[ ]vlan bat 10 20     //创建vlan10，vlan20
[ ]int e0/0/1       //进入接口e0/0/1
[ ]port link-type access      //设置接口链路类型为access
[ ]port default vlan 10      //将接口划分进vlan10
[ ]int e0/0/2       //进入接口e0/0/2
[ ]port link-type access         //设置接口链路类型为access
[ ]port default vlan 20          //将接口划分进vlan20
[ ]int e0/0/3             //进入接口e0/0/3
[ ]port link-type access        //设置接口链路类型为access
[ ]port default vlan 10         //将接口划分进vlan10
[ ]int e0/0/4         //进入接口e0/0/4
[ ]port link-type access        //设置接口链路类型为access
[ ]port default vlan 20        //将接口划分进vlan20
[ ]int g0/0/1        //进入接口g0/0/1
[ ]port link-type trunk         //设置接口链路类型为trunk
[ ]port trunk allow-pass vlan all      //将所有vlan纳入trunk白名单中

配置r1

路由器R1：
[ ]int g0/0/0      //进入接口g0/0/0
[ ]undo shutdown       //开启g0/0/0接口
[ ]int g0/0/0.1         //进入接口g0/0/0.1
[ ]dot1q termination vid 10    //将接口划分进vlan10，封装方式为802.1q
[ ]ip add 192.168.10.1 24       //设置IP和子网掩码长度
[ ]arp broadcast enable        //开启ARP广播功能
[ ]int g0/0/0.2        //进入接口g0/0/0.2
[ ]dot1q termination vid 20        //将接口划分进vlan20，封装方式为802.1q
[ ]ip add 192.168.20.1 24         //设置IP和子网掩码长度
[ ]arp broadcast enable         //开启ARP广播功能
[ ]acl 2000     //创建标椎访问控制列表，列表号2000
[ ]rule deny source 192.168.10.0 0.0.0.255       //拒绝92.168.10.0网段（子网掩码为反掩码）
[ ]rule permit source any       //放行其他路由条目
[ ]int g0/0/0.2    //进入接口g0/0/0.2
[ ]traffic-filter outbound acl 2000     //出接口下调用ACL 2000
 
[ ]int g0/0/1     //进入接口g0/0/1
[ ]undo shutdown      //开启g0/0/1接口
[ ]ip add 10.10.10.1 24      //设置IP和子网掩码长度
[ ]ip route-static 0.0.0.0 0 10.10.10.2       //添加默认路由：网段为0.0.0.0，
子网掩码长度为0，下一跳入接口ip为10.10.10.2
[ ]acl 3000       //创建标椎访问控制列表，列表号3000
[ ]rule deny tcp source 192.168.10.10 0.0.0.0 destination 20.20.20.100 0.0.0.0 
destination-port eq 21//禁止PC1访问FTP服务
[ ]rule permit tcp source any destination any destination-port eq 21     //放行其他客户机访问FTP服务
[ ]rule permit ip source any destination any     //放行其他客户机的网络流量
[ ]int g0/0/0.1      //进入接口g0/0/0.1
[ ]traffic-filter inbound acl 3000      //入接口下调用ACL 2000

设置服务器IP地址，子网掩码和网关：20.20.20.20? 255.255.255.0 ?20.20.20.2