前言：繼續(xù)網(wǎng)絡知識，這一篇博客簡單介紹一下 Access Control List，以及如何配置

什么是 Access Control List

快看這個路由器

這個路由器有四個接口，每個接口都有兩個方向：進和出

Access Control List 就是限制這些接口的進出流量

有兩種 ACL：

• 標準訪問控制列表（standard access lists）

  1）只能根據(jù)源地址做過濾

• 擴展訪問控制列表（extended access lists）

  1）能根據(jù)源、目的地地址、端口號等等進行過濾

  2）能允許或拒絕特定的協(xié)議

在開始配置之前我們要繼續(xù)學習 ACL 是什么時候開始對照路由表的

入口

在入口方向：先檢查是否運行進入，一般配置進口 ACL 的時候至少寫一條 permit 如果不寫的話會 deny 所有

出口

在出口方向：是先檢查有沒有這個路由

如何配置

可以有多種 ACL，每種 ACL 都有編號，而對于不同的 ACL 的類型，所屬編號不一樣

也可以為 ACL 取名字

具體配置如下：

其中：/ / 之間是要填的內(nèi)容，[//] 是選填的內(nèi)容

• 標準訪問控制列表

// 創(chuàng)建 acl
Router(config)#ip access-list standard /number/

// 寫入規(guī)則
Router(config)#access-list /number/ {permit|deny} /source/ /wildcard mask/

// 進入接口
Router(config)#int e0/1

// 設置進口還是出口應用 acl
Router(config-if)ip access-group /number/  { in | out }

• 擴展訪問列表

// 創(chuàng)建 acl
Router(config)#ip access-list extended {/name/|/number/} 


// 配置規(guī)則
Router(config)#access-list /number/ {permit | deny} /protocol/ /source/ /source-wildcard/ [/operator port/]  /destination/ /destination-wildcard/ [/operator port/] 

// 進入接口
Router(config)#int e0/0

// 設置進口還是出口應用 acl
Router(config-if)ip access-group /number/  { in | out }

• 查看

Router# show access-lists

• 刪除

Router(config)#no ip access-list /number/

提一嘴通配符

這就是通配符

比如說 192.168.10.1 和通配符 0.0.0.3 = 0.0.0.0000011

可以匹配：

• 192.168.10.0
• 192.168.10.1
• 192.168.10.2
• 192.168.10.3

實戰(zhàn)

• 禁止 PC1 ping 通路由
• 允許 PC2 ping 通 PC3，禁止 ping 通 PC4

PC1：

PC1 的 ip 是192.168.15.1/24 網(wǎng)關是 192.168.15.5

// 配置規(guī)則
Router(config)#ip access-list standard 1
Router(config-std-nacl)#1 deny 192.168.15.5 0.0.0.0

// 配置接口
Router(config)#int e0/1
Router(config-if)#ip access-group 1 in

PC2：

// 配置規(guī)則
Router(config)#ip access-list extended 100
Router(config-ext-nacl)#100 deny icmp 192.168.25.2 0.0.0.0 192.168.45.4 0.0.0.0  

// 配置接口
Router(config)#int e0/3 
Router(config-if)#ip access-group 100 out