ACL

1.ACL访问控制列表

1.ACL规则的基本组成

ACL标识+规则

2.访问控制列表的类型

访问控制类别可以分为标准ACL，拓展ACL，标准命名ACL，拓展命名ACL;

• access-list 是用数字来定义 acl （标准ACL和扩展ACL）
• ip access-list 是用名字来定义 acl（标准命名ACL和扩展命名ACL）

1.标准ACL

配置要点：
1） ACL默认最后有一条deny any，故允许（permit）的ACL应该写在上面。若是禁止某网段访问，其他网段均放通，则应该在最后加一条permit any。
2）标准的ACL只匹配源IP地址（不写掩码只是匹配单个ip，可以写掩码）；
3）标准的ACL号是从1-99和1300-1999；
4）如果是单个IP地址，可写为access-list 1 permit host 192.168.1.1

2.扩展ACL

配置要点
1）扩展ACL可匹配源地址、目的地址、IP协议，tcp、udp、icmp、igmp待协议； 如要允许所有目的端口是tcp80端口的流量：access-list 100 per tcp any any eq 80
2）扩展ACL号为100-199和2000-2699

3.标准命令ACL

配置要点和标准acl基本一致，就是多了可以删除特定规则；

4.扩展命名ACL

配置要点和标准acl基本一致，就是多了可以删除特定规则，配置起来更加灵活；

3.确定ACL的IN、OUT方向

IN和OUT方向是相对的，要根据数据流的方向判断，以路由器为中心，数据流进入的方向是IN方向，数据流经过路由器转发出去的方向是OUT方向。

2.配置命令解读

1.标准ACL
\\标准访问控制列表，允许192.168.2.2访问目标地址；用于IN方向
access-list 1 permit 192.168.2.2
interface Ethernet0/0
\\注意区分in还是out方向
ip access-group 1 in
\\允许192.168.2.0网段访问目标地址
access-list 1 permit 192.168.2.0 0.0.0.255
2.扩展ACL
\\扩展ACL支持指定源地址，目标地址，这条命令指定只有192.168.2.1才能访问5.5.5.5
access-list 100 permit ip host 192.168.2.1 host 5.5.5.5
interface Ethernet0/0
ip access-group 100 in
3.标准命名ACL（standard）
\\标准命名ACL其实就是把ACL的数字用字符来表示，优点就是可以随意删除指定的permit或者deny语句，但是还是只能对源地址做限制，不够灵活
\\允许192.168.2.1访问所有目标ip，配置在in方向
ip access-list standard standtest1
permit 192.168.2.1
interface Ethernet0/0
ip access-group standtest1 in
4.扩展命名ACL(extend)
\\随意删除permit或者deny下面的策略，也可以对ip或者其他协议做策略
ip access-list extended extendtest1
\\允许192.168.3.0/24ping4.4.4.4，除了ping其他服务都不通，ping的目标地址除4.4.4.4以外的也不通
\\允许192.168.2.0/24这个段对5.5.5.5这个地址进行任意访问
50 permit icmp 192.168.3.0 0.0.0.255 host 4.4.4.4
60 permit ip 192.168.2.0 0.0.0.255 host 5.5.5.5
interface Ethernet0/0
ip access-group extendtest1 in

内容部分引自站内用户：https://www.cnblogs.com/romin/p/15680566.html，如有侵权，冒犯删除