网络工程师:详解cisco访问控制列表ACL

一、访问控制列表概述
访问控制列表(ACL)是应用于路由器接口的指令列表。这些指令表用于告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。
工作原理:读取第三层和第四层报头中的信息，如源地址、目的地址、源端口、目的端口等。按照预设的规则过滤数据包，从而达到访问控制的目的。
实际应用:阻止某个网段访问服务器。
阻止A网段访问B网段，但B网段可以访问A网段
禁止部分端口入网，以达到安全的目的。
二:标准ACL
标准访问控制列表只检查路由器路由的数据包的源地址。如果使用标准访问控制列表禁用某个网段，该网段下的所有主机和所有协议都将被禁止。如果网段A被禁止，网段A下的所有主机都不能访问服务器，但是网段B下的主机可以。
局域网中一般使用1-99之间的数字
，所以标准ACL应用于最接近目的地址的地方。
标准ACL的配置:
router(config)# Access-list number deny(禁止)网段/IP地址通配符掩码
* * * * *禁止某个网段或某个IP
router(config)# Access-list table number permit any
注意:默认情况下，所有网络都设置为禁止，因此应该释放其他网段。
Router(config)# interface interface * * * *输入要应用此ACL的接口(因为访问控制列表只能在接口模式下应用)
Router(config-if)# IP access-group表号out/in * * * *在此接口下将其设置为out或in
where Router(config)# access-list 10 deny 192 . 168 . 0 . 1 0 . 0
Router(config)# access-list 10 deny host 192 .
…标准访问控制列表的工作原理。
(每当数据进入路由器的每个接口时，都会执行以下过程。)

注意:配置访问控制列表时，顺序非常重要。确保按照从具体到一般的顺序排列项目。
例如，如果您要拒绝特定的主机地址并允许其他主机，请确保有关该特定主机的条目是最新的。
III:扩展ACL
扩展访问控制列表检查数据包的源地址、目的地址、源端口和目的端口。如果使用扩展访问控制列表来禁止一个网段访问其他网段，那么A网段下的所有主机都不能访问B网段，而B网段下的主机可以访问A网段，
100到199之间的数字被用作外部网络中一般使用的表号
，所以扩展ACL被应用到离源地址最近的地方。
…配置扩展访问控制列表。
Router(config)# access-list number deny(forbidden)协议源IP地址/网段通配符掩码目的IP地址/网段通配符掩码eq端口
*****禁止网段A(源网段)下的某个协议(或端口)访问网段B(目的网段)
Router(config)# access-list number permit IP any
注意:默认情况下，扩展ACL的所有网络也被设置为禁止，因此其他网段应该被释放。
router(config)# interface interface * * * * * * *输入该ACL要应用到的接口
router(config-if)# IP access-group表号OUT/in * * * * *激活该接口下的访问控制列表，根据实际情况将该接口设置为OUT/即可。
…公共端口及其附属协议。

　　·扩展访问控制列表的工作原理：
　　（每当数据进入路由器的每口接口下，都会进行以下进程。

扩展访问控制列表如何工作:
(每当数据进入路由器的每个接口时，都会执行以下过程。