11.Access Control List

为什么要用ACL？

ACL的两大功能：流量控制（包过滤机制）、匹配感兴趣的流量

ACL两种类型：标准型、扩展型

标准访问控制列表：

只能根据源地址做过滤

针对整个协议采取相关动作（允许或禁止）

扩展访问控制列表：

能根据源、目的地地址、端口号（应用层的协议）等等进行过滤

能允许或拒绝特定的协议（传输层或网络层的协议）

ACL的操作

入站（in方向）及出站（out方向）

ACL的存放位置主要看数据方向

每个接口都有入站和出站两个方向，用来做ACL的调用，每个方向只能调用一个ACL

一个方向只能调用一个ACL

入方向的ACL的操作

出方向的ACL的操作

in方向	先查ACL	再查路由表
out方向	先查路由表	再查ACL

ACL

列表编号：数字或者字符

每个列表包含多个语句

每个语句两个元素：条件（源地址、目的地址、端口号、协议）、动作（允许/拒绝）

逐条匹配、默认拒绝

ACL的匹配：Deny or Permit

ACL的标示

防火墙当路由器来用要放开域间策略

列表：数字（1-99标准/100-199扩展）、字符（随意编排/主要看Standard还是Extended）

多打？去询问

ACL的配置

标准访问控制列表的配置

Router(config)#

access-list access-list-number {permit|deny} source [wildcard mask]

编号选择1-99

通配符若无，默认0.0.0.0

“no access-list access-list-number”将会删除整个ACL列表

例：access-list 11 permit s192.168.1.0 0.0.0.255

例：access-list 11 permit s192.168.1.0 0.0.0.255

如果在最前加no，则整个ACL11被删除

Router(config-if)#

ip access-group access-list-number {in|out}

在接口中应用

应用时关联入或出站方向

“no ip access-group access-list-number”可移除接口上应用的访问列表

通配符（反掩码）

通配符缩写

示例

示例

扩展访问控制列表的配置

Router(config)#

access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

access-list 编号 动作 协议 源（源端口）目的（目的端口）  

Router(config-if)#

ip access-group access-list-number {in|out}

在接口中应用

应用时关联入或出站方向

示例

示例

命名访问控制列表的配置

Router(config)#

ip access-list {standard|extended} name

Router(config {std-|ext-} nacl)#

[sequence-number] {permit|deny} {ip access list test conditions} {permit|deny} {ip access list test conditions}

if not configured, sequence numbers are generated automatically starting at 10 and incrementing by 10

no sequence number removes the specific test from the named ACL

Router(config-if)#

ip access-group access-list-number {in|out}