一  ACL (访问控制列表)

功能:①流量控制,②匹配感兴趣流量

① 标准访问控制列表 

    只能根据源地址做过滤。针对整个协议允许(permit) 或禁止(deny)

② 扩展访问控制列表 

    能根据源,目的地址,端口号进行过滤,不能过滤路由

③ 高级访问控制列表 

注:in/out 

有acl不一定有防火墙,有防火墙一定有acl 

二 ACL 标示 

标准   1--99     1300---1999

高级  100---1999  2000----2699

标准acl   格式: access-list  1 (permit     deny )     源地址    通配符 

通配符:0 表示严格匹配

              1 表示无所谓

定义acl时至少要有一条permit 



三   扩展访问控制列表

扩展acl 格式: access-list  100 (permit     deny )     协议号    源地址   目的地址  通配符 


eq =

 gt >

lt <

查看命令:show access-lists

总结:

ACL



实验

ACL


R1  

Router>enable 

Router#conf

Router(config)#int f 0/1 

Router(config-if)#ip add 192.168.1.1 255.255.255.0 

Router(config-if)#no shu

Router(config-if)#int f 0/0 

Router(config-if)#ip add 192.168.2.1 255.255.255.0 

Router(config-if)#no sh

Router(config-if)#int s 0/2/0 

Router(config-if)#ip add 192.168.3.1 255.255.255.0 

Router(config-if)#no shu

Router(config-if)#clock rate 64000 

Router(config-if)#no shu

Router(config-if)#exi

Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2 

Router(config)#ip access-list standard xxx

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255 

Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255 

Router(config-std-nacl)#int s 0/2/0 

Router(config-if)#ip access-group xxx out 

Router(config-if)#exi

R2 

Router>en

Router#conf

Router(config)#int s 0/2/0 

Router(config-if)#ip add 192.168.3.2 255.255.255.0 

Router(config-if)#no shu

Router(config-if)#ip add 192.168.4.1 255.255.255.0 

Router(config-if)#no shu

Router(config-if)#exi

Router(config)#ip route  0.0.0.0 0.0.0.0 192.168.3.1 

注:PC1 ping 192.168.4.2

      PC2 ping  192.168.4.2