实验项目:
1.理解ACL的基本原理 2.会配置标准,扩展,命名ACL。3.综合应用ACL
在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问。那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理。
1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的

2.ACL的3中模式:
1标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)
2扩展ACL (根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来允许或拒绝,表号是100~199)
3命名ACL (允许在标准和扩展ACL中使用名称来代替列表好)

3.ACL的工作原理:ACL是一组规则的集合,它应用在路由器上的接口,对与接口它有“出”和“入”两个方向。如果对接口应用了ACL,那么路由器对数据包应用该规则进行顺序检查。如果第一条规则匹配,那么就直接通过,不再需要检查。如果没有匹配,那么就会依次往下检查。到最后还没有的话,路由器将会根据默认的规则丢弃改数据包。一句话来说就是:要么允许通过,要么被拒绝。

实验经过:
1》上面我们简述了原理和一些重点,那么接下来我们来做一个ACL的综合实验。首先我们在GNS3中搭建号拓扑图,标记上IP的信息,方便我们配置,还有就是记住规则的顺序。规则的顺序很重要。如下图:
ACL 访问控制列表
2》拓扑图搭建好了,我们来分析下需要做些什么。在SW上我没有太多要做的,只需要配置好全双工和速率。但是在R2上我们需要把端口IP配置好,并且注意ACL的要求,和最后应用在接口是该在那么方向。Sw上的配置这里就不演示了,直接配置R2。如下图:
ACL 访问控制列表
3》端口IP和全双工,速率都配置好了,下面我们来配置规则。如下图:
ACL 访问控制列表
4》以上是我们允许了两台主机通过,最后我们需要拒绝最后一台访问,并且需要把这个协议应用在IN的端口方向。如下图:
ACL 访问控制列表
5》到这里,这个实验结束,我们可以通过ping来验证。如下图:
ACL 访问控制列表
6》到这里表明实验成功,这里还需要注意的是,我们可以先查看一下列表,每一条规则都有序号,代表路由器先后的查看顺序。如下图:
ACL 访问控制列表
7》总结:
1.上图的ACL列表信息,再加上路由器对ACL的工作原理,那么我们可以得知的是,规则的顺序很重要,用这个实验来说,如果还需要添加其他规则的,那么你的序号需要小于30。如果大于30,路由器匹配到这里就会自动丢弃这个数据包。

2.我们需要熟悉一定的协议,如:TCP IP UDP ICMP 等
3.最后我们需要将配置号的规则用于接口,同时注意是用在IN接口还是OUT接口
4.需要注意的是HOST后面是跟一个具体的IP地址,否则后面就需要跟反掩码。
5.ACL有三种类型:1标准ACL 2扩展ACL 3命名ACL
6.熟悉ACL通过路由的工作原理,这样更好理解规则。