ACL(accsec contorl list)协议---访问控制列表。
1 作用-----控制数据的访问和互通。
2 访问控制列表的类型:
标准访问控制列表:仅仅关注源IP地址。建议配置在离目标端最近的路由上
扩展访问控制列表:关注源IP地址和目标地址,还可以关注TCP,UDP等信息,流量控制更加精准。配置在离源端最近的路由上,一般应用在入端口方向
命名(标准/扩展)访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
3 实现步骤-----第一是制定规则,第二是制定执行规则动作permit(允许)或者deny(拒绝),第三是在正确的设备端口上调用ACL。
在实际的工作当中,我们使用最多的是命名访问控制列表,接下来将通过实验看下具体配置:
实验:如上面拓扑图所示,红色区域表示内网,蓝色区域表示外网,此时全网互通。要求:PC4不能访问服务器的网页。
思路:形象一点表达:张三的家是pc4,他想开车拜访加在蓝色区域服务器的李四。当他出门走到R1的路口时,交警ACL叫他靠边停车询问,你是谁?去哪里?经过询问张三被扣压,原因是根据局里发的《不放行通知》,他因为交通事故逃逸,已经进入了黑名单。
对应关系:
tcp(应用到应用的访问协议)-----张三
服务器web服务—李四
ACL的名字内容--《不放行通知》
调用ACL---在R1路口执行此通知
配置步骤:(我们使用命名扩展ACL配置)
1 建立ACL并且配置ACL的规则
R1(config)#ip access-list extended no//建立名字是no的ACL
R1(config-ext-nacl)#10 deny tcp host 192.168.1.1 host 192.168.1.254//ACL内容10:不允许从192.168.1.1发出 tcl 数据包 经过192.168.1.254
R1(config-ext-nacl)#20 permit ip any any //ACL内容20:除tcl数据流量以外其它可以放行
2 调用ACL
R1(config)#interface g0/0 //进入端口1
R1(config-if)#ip access-group no in // 启用名字为no的ACL,从此端口进入的符合规则的数据流量不允许通过
注意:标准的ACL应该用在距离目标近的位置
扩展的ACL应该用在距离目标远的位置