---

前言

通過ACL訪問控制可以針對特定的物件進行訪問限制，控制其訪問是否有效

---

一 ACL(訪問控制列表)

1.1 ACL分類

標準ACL 列表號：2000-2999 
擴充ACL 列表號：3000-3999
命名ACL ：包含標準ACL.擴充套件ACL   命名行號

1.2 ACL的作用

讀取第三層，第四層包頭資訊
根據預先定義好的的規則對包進行過濾

第三層 過濾資訊 包含IP，通訊地址
第四層 過濾包含協議和埠，（TCP ,UDP 協議）
標準ACL：只能過濾源IP地址
擴充套件ACL：能過濾源目IP，源目埠號，指定協議（TCP,UDP）

1.3 ACL使用規則

1.定義列表內容
2.呼叫  在介面下
       在程式下

1.4 訪問控制列表在介面應用的方向

出：語句過路由器的處理，正離開路由器介面的資料包
入：已到達路由器介面的資料包，將被路由器處理

入：對本機生效
出：對本機不生效，對下臺機器生效

標準列表--應該將列表放進靠近目標的地方

不允許VLAN10 與 VLAN20通訊

因為通訊是雙向的，因而只要阻止一個方向將可以完成不能通訊的目的

在AR2上做的ACL列表如下：

抓的是源地址 192.168.10.0

1.5 ACL執行的過程

順序執行.若有一條匹配上，則執行結束後，直接退出
若所有的語句都沒有匹配上,則執行隱含預設的規則，拒絕所有

寫ACL列表需要注意的事項:至少要有一條放行

1.6 ACL 訪問列表的對比

標準列表：——應該將列表放進靠近目標的地方
擴充套件列表在呼叫時靠近源，節省頻寬
基本列表在呼叫時應靠近目標，防止流量被誤阻礙

總結

基本列表控制的物件只能是源IP
擴充套件列表控制的物件是源，目的IP，源，目標埠，傳輸層協議

例如：

禁止某客戶機訪問FTP伺服器

acl 3000
rule deny tcp source 192.168.1.10 0.0.0.0 destination-port eq 21
           tcp協議        源埠ip                                 目標埠號
     
禁止這個主機（192.168.1.10 0.0.0.0 ）訪問tcp的21號埠
源是客戶機，目標是伺服器
rule permit tcp source any dertination any          允許其他源訪問埠

二 專案配置

分別進行設定客戶機訪問設定
設定路由器訪問伺服器設定

2.1 客戶機訪問設定

先配置各個計算機的IP地址，子網掩碼，閘道器
PC1 192.168.10.10 PC3 192.168.10.20
PC2 192.168.20.10 PC4 192.168.20.20

2.1.1 專案流程

在SW1上

1 vlan bat 10 20
1 int e0/0/1
2 port link-type access 
3  port deafult vlan 10
4 int e0/0/2
5 port link-type access
6  port default vlan 20
7 int e0/0/3
8port link-type access 
9  port deafult vlan 10
10int e0/0/2
11 port link-type access
12 port default vlan 20
13 int g0/0/1
14 port link-type trunk
15 port trunk allow-pass vlan all

在AR1上

1 int g0/0/0
2 undo shut
3 int g0/0/0.1 
4 dot1q termination vid 10   封裝 進vlan10
5 ip add 192.168.10.1 24 
6 arp broadcast enable             開放arp廣播
7  int g0/0/0.2 
8 dot1q termination vid 20   封裝 進vlan20
9  ip add 192.168.20.1 24 
10 arp broadcast enable             開放arp廣播

完成以上操作
在PC機上進行通訊ping
因為在vlan 10 ping vlan 20
出vlan10 到vlan20
抓的是源 vlan10 （192.168.10.0 ）
從g 0/0/0.2 介面是出的
所以在g 0/0/0.2 介面呼叫策略，可以拒絕vlan10 ，實現vlan10 和vlan20 不通

開始做策略

在AR1上

1 acl 2000
2  rule deny source 192.168.10.0 0.0.0.255        拒絕某個流量
3 rule permit source any                                        其它流量放行
4 int g0/0/0.2                                                        進入介面
5  traffic-filter outbund acl 2000                                呼叫策略
display acl 2000

[AR1]display acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
 rule 5 deny source 192.168.10.0 0.0.0.255 
 rule 10 permit 

檢視acl列表，檢視命令列號 rule 5
acl 2000 進入acl 2000
undo rule 5 刪除命令，只需刪除 rule 5

2.2 路由器訪問設定

2.2.1 專案解析

先在伺服器上配置 地址
202.10.100.100
202.10.100.1

啟動服務
需求是禁止AR4（某個路由器）去訪問FTP伺服器

訪問方式有兩種：在客戶機上用客戶機去模擬
             用裝置（交換機，路由器）模擬FTP客戶機

客戶機測試（因為這裡的PC機不支援FTP命令，因而用路由器模擬的）

專案流程

在AR4上

1 int g0/0/0
2  ip add 12.1.1.1 24
3 undo shut
4 ip route-static 202.10.100.0 24 12.1.1.2

在AR5上

1  int g0/0/0
2  ip add 12.1.1.1 24 
3 undo shut
4 int g0/0/1
5 ip add 202.10.100.1 24
6  undo shut
7 acl 3000
8 rule deny tcp source 12.1.1.1 0.0.0.0 destination 202.10.100.100 0.0.0.0 destination-port eq 21
禁止源 12.1.1.1 0.0.0.0 訪問tcp 202.10.100.100 伺服器
9 rule permit ip source any destination any           允許其他源訪問埠
10 q
11 int g0/0/0                                               進入介面    入口（在AR5左邊）    
12 traffic-filter inbound acl 3000                呼叫策略 入口
13 quit

在AR4上

1 quit
2 < > ftp 202.10.100.100

無效，拒絕訪問
想要訪問，就只要把策略刪了

在AR5上

1 int g0/0/0
2 undo traffic-filter inbound acl 
CTRL+K 是取消

---

總結

以上就是對ACL的訪問控制列表的基礎應用知識的解析。