访问控制列表（ACL）

一、标准访问控制列表

1. ACL基本概念

• 是一种基于包过滤的访问控制列表（拆网络层的IP地址），光广泛应用于路由器和三层交换机中，基于数据包的五元组进行过滤（源IP、目的IP、源端口、目的端口、协议）
• 读取三层（网络层）和四层（传输层）的流量

2. 工作原理

• 数据的流量走向（确定路由器的入口或出口，建议是将ACL应用在入口，从而减少路由的工作量）
• 工作过程
  

3. 访问控制列表分类（思科设备）

• 标准
  • 基于源IP地址进行控制
  • 表号：1~99
• 扩展
  • 基于源IP、目的IP、指定协议、端口号、标志位来过滤
  • 表号：100~199
• 命名
  • 没有表号，使用名字作为表号
  • 直接使用standard标识标准ACL extended标识扩展ACL

4. 配置

• 标准访问控制列表

  access-list 1 deny host 192.168.10.10 #创建访问控制列表,拒绝IP为192.168.10.10的主机访问（permit为允许 deny为拒绝）
  access-list 1 permit any #允许其他主机访问
  int g0/0 #进入接口
  ip access-group 1 in #应用到接口（in此接口为入口 out此接口为出口）

5. ACL应用规则

• 在一个接口的一个方向上只能应用一个访问控制列表

  access-list 1 deny host 192.168.1.1
  access-list 2 deny host 192.168.2.1
  int f0/0
  ip access-group 1 in
  ip access-group 2 in #此条无法应用
  ip access-group 2 out #注意流量走向

二、扩展ACL

access-list 100 permit/deny 协议（icmp ip tcp udp) 源地址 目的地址 eq/gt/lt/neq/range 端口号

三、命名ACL

1. 好处

• 可以在某一个表内删除单条ACL或插入一条ACL

2. 配置

ip access-list extended woniu #创建命名为woniu的扩展的访问控制列表
no 10 #删除编号为10的一条ACL
#插入一条ACL时只需在最前面加上数字编号

四、删除访问控制列表

• 在删除访问控制列表之前，需要在应用的接口上取消
• 不管是标准的ACL还是扩展ACL，删除时都是删除整个表中的ACL（不管有多少条都会一次性把整个表删除）