ACL的基本概念

(一) ACL应用位置

主要用于给数据流进行分类；定义。
第三层：网络层IP；第四层往上：应用层协议：层数据流。

(二) ACL使用场景

【1】过滤access-group
【2】NAT
【3】VTY控制 access-class

(三) ACL接口相关

• 接口过滤 ip access-group
• ACL如果用于出接口out：先查路由表，再执行出口的ACL；
• ACL如果用于进接口in：先执行ACL，再查路由表；

(四) ACL分类

(五) ACL配置案例练习

access-list 1 permit/deny 1.1.1.0 0.0.0.255
access-list 1 permit/deny 45.45.45.5 0.0.0.0
access-list 1 permit 0.0.0.0 255.255.255.255（所有的流量）等同于下一行
access-list 1 permit any

access-list [100-199] permit/deny [协议] [源IP] [目标IP]
access-list 100 permit ip 12.12.12.0 0.0.0.255 23.23.23.0 0.0.0.255
access-list 100 permit tcp 12.12.12.1 0.0.0.0 34.34.34.4 0.0.0.0 eq 23
access-list 100 deny tcp any 34.34.34.4 0.0.0.0 eq 23
access-list 100 permit ip （ospf/eigrp） any any（表示剩下的流量都放行）

ACL综合应用

(一) ACL匹配机制及匹配顺序

ACL：匹配顺序自上而下
没有匹配的流量，默认在ACL都是deny
自身产生的流量，无法使用ACL过滤

IP协议[3层]：tcp\udp\OSPF\EIGRP\ICMP [ping/traceroute]……

(二) ACL弊端

标准ACL、扩展ACL：删掉其中一个条目，整个ACL会丢失；
补进去的ACL都放在最后；

解决方法——使用Named-ACL
remark 注释
10 deny
15 ……
20 permit

ip access-list extended netbox
permit tcp host 12.12.12.1 host 34.34.34.4 eq telnet
permit eigrp any any
deny tcp any any eq telnet
permit ip any any

(三) ACL案例分析

1、标准ACL案例

标准ACL案例一

标准ACL案例二：

标准ACL案例三：

2、扩展ACL案例

扩展ACL 案例一：

扩展ACL 案例二：

3、命名ACL案例

命名ACL 案例一：命名标准型

命名ACL 案例二：命名扩展型

ACL实验练习

实验要求

1、R1拒绝所有ping包
2、VTY远程登陆：telnet【TCP 23】，先设置密码
R4拒绝R1远程登陆
3、对于R3上通行的TCP流量，只允许R2远程登陆R4的流量通行；
其它所有TCP流量全部拒绝deny

TELNET远程登陆设置：
line vty 0 4 [ 0-4五条线路 ]
password netbox [设置密码]
login [调用密码]

R1>enable
R1#
enable密码设置：
#enable password netbox 明文
#enable secret cisco 暗文

show user 显示被登陆了哪些线路

实验具体操作

1、R1拒绝所有ping包

R1(config)#access-list 101 deny icmp any host 12.12.12.1
R1(config)#int f0/0
R1(config-if)#ip access-group 101 in

问题：发现与R1相关联的EIGRP邻居被断开，原因：ACL策略的最后一条默认拒绝所有流量的通行所以要在末尾补充允许线路的通行。

这条ACL策略配置时记得要写上哦
R1(config)#access-list 101 permit ip any any

2、VTY远程登陆：telnet【TCP 23】，先设置密码

 R4拒绝R1远程登陆

在R4上设置远程登录配置

R4(config)#line vty 0 4
R4(config-line)#password 123456
R4(config-line)#login
R4(config-line)#exit
这个是设置进入特权模式的密码
R4(config)#enable secret 654321

配置ACL 指令 R4拒绝R1远程登陆

R4(config)#access-list 102 deny tcp 12.12.12.1 0.0.0.255 34.34.34.4 0.0.0.255 eq 23
上面这句命令还可以这么写：
R4(config)#access-list 102 deny tcp host 12.12.12.1 host 34.34.34.4 eq 23
使用host表示具体匹配该路由器的设备，所以可以不需要写反掩码。
R4(config)#access-list 102 permit ip any any
R4(config)#int f0/0
R4(config-if)#ip access-group 102 in
R4(config-if)#do sh access-list
Extended IP access list 102
10 deny tcp 12.12.12.0 0.0.0.255 34.34.34.0 0.0.0.255 eq telnet (129 matches)
20 permit ip any any (54 matches)

3、对于R3上通行的TCP流量，只允许R2远程登陆R4的流量通行；

其它所有TCP流量全部拒绝deny

对R3

R3(config)#access-list 133 permit tcp host 23.23.23.2 host 34.34.34.4 eq 23
R3(config)#access-list 133 deny tcp any any
R3(config)#access-list 133 permit ip any any
R3(config)#int f1/0
R3(config-if)#ip access-group 133 out

在R2上验证

在R1上验证

注意：从R3依然可以远程登录R4 可以验证ACL无法阻断自身设备的流量的结论。

4、R4不允许R3远程登录

(标准ACL应用于VTY中，似乎扩展ACL无法应用)】

R4(config)#access-list 4 deny 34.34.34.3
R4(config)#line vty 0 4
R4(config-line)#access-class 4 in