前言：

配置路由器全網(wǎng)互通后，更高級(jí)一點(diǎn)希望網(wǎng)絡(luò)中的資源不被非法使用和訪問(wèn)。
出現(xiàn)了訪問(wèn)控制，訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，
主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)
它是保證網(wǎng)絡(luò)安全最重要的核心策略之一
訪問(wèn)控制涉及的技術(shù)：包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。

---

訪問(wèn)控制列表是其中重要的內(nèi)容！根據(jù)列表來(lái)告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。

訪問(wèn)控制列表（Access Control Lists,ACL）是應(yīng)用在路由器接口的指令列表。
訪問(wèn)控制列表好處：
控制網(wǎng)絡(luò)流量、流向的作用
很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。
作為外網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)的第一道關(guān)卡，路由器上的訪問(wèn)控制列表成為保護(hù)內(nèi)網(wǎng)安全的有效手段。

---

了解訪問(wèn)控制列表

進(jìn)入到R2

R2#(config) access-list <1~99>訪問(wèn)列表名字（標(biāo)準(zhǔn)） <100~199>extended(擴(kuò)展的，防止不夠用）
R2#(config) access-list 10 ：現(xiàn)在有一個(gè)訪問(wèn)控制列表10　　控制列表中有3類信息（deny 拒絕 permit允許 remark注釋）

在每一個(gè)控制列表下，通過(guò)這3類控制信息來(lái)決定列表內(nèi)容的作用
舉例——remark

R2#(config) access-list 10 　
remark deny to 4.4.4.4 traffic :注釋掉deny to　4.4.4.4 traffic 這句話，這句話本身是指拒絕到4.4.4.4的穿越流量
sho ip access-list 10 　　　:查看控制列表10的信息

舉例——deny

R2#(config) access-list 10
deny(　可以跟3中信息A.B.C.D網(wǎng)段　/　any所有　／　host一個(gè)點(diǎn) host 1.1.1.1）

---

訪問(wèn)控制列表的7個(gè)特點(diǎn)和解釋

1）對(duì)數(shù)據(jù)流進(jìn)行匹配
2）應(yīng)用于接口

ip access-list standard 1 　　
　　　5　 deny host 　1.1.1.1 　　
　　　7 　deny host　1.1.1.2 　/ 　7 　deny 1.1.1.2 　０.０.０.０通過(guò)反掩碼自動(dòng)計(jì)算出它是一個(gè)點(diǎn)
　　　9 　permit any
exit
inf f0/1０
ip access-group | in
1.　這里先建立了一個(gè)訪問(wèn)控制列表，定義在f0/0接口的進(jìn)方向上拒絕1.1.1.1 拒絕1.1.1.2 其余的允許通過(guò)
2.　然后，退出訪問(wèn)控制列表的編輯狀態(tài)
3.　返回到f0/0接口下，將控制列表應(yīng)用到這個(gè)接口的進(jìn)方向上

如果存在多個(gè)接口，則要給每一個(gè)接口進(jìn)行配置！

3）同一個(gè)方向只有一個(gè)可以應(yīng)用對(duì)于Ｒ２上的每一個(gè)接口，上面的圖對(duì)每一個(gè)接口都是不同的方向，下面的圖對(duì)每一個(gè)接口都是同一個(gè)方向，但是同一個(gè)方向上，如果有多個(gè)訪問(wèn)控制列表，只能應(yīng)用其中的一個(gè)！如果同一個(gè)方向上運(yùn)用了多個(gè)，到底該以哪一個(gè)做為依據(jù)，就會(huì)亂了！

在下圖中，配置這樣的命令

(R2#config) ip access-list standard 2
(R2#config) 　　5 　deny 　　1.1.1.1
(R2#config)　　10　deny　　12.1.1.1
(R2#config)　　15　permit 　12.1.1.0 　0.0.0.255
(R2#config)exit
(R2#config)inf f0/1
(R2#config)ip access-group in
在R2的f0/1接口的in方向上配置了拒絕1.1.1.1，拒絕12.1.1.1，允許12.1.1.0 0.0.255
由于R2上沒(méi)有12.1.1.1，一段時(shí)間后會(huì)down鄰居，導(dǎo)致ping不通（ping是一來(lái)一回的機(jī)制，雖然在1.1.1.2的out方向不受控制，但在1.1.1.2的in方向受控制，所以以1.1.1.1為源ping3.3.3.3回得來(lái)，但去不了，導(dǎo)致ping不通！
4）至少有一條permit行
也就說(shuō)不能所有的都拒絕，這樣不就斷了，路由器放在這個(gè)位置也就沒(méi)用了！所以必須保證至少有一條是通的！
R2#(config) access-list 10
10　deny　1.1.1.1 　10為語(yǔ)句序號(hào)
20　deny　1.1.1.2 　20為語(yǔ)句序號(hào)
30　permit any
【deny any 最后默認(rèn)】
其中的意思就是在R2上建立訪問(wèn)控制列表，在列表上，第10行拒絕了1.1.1.1，第20行拒絕了1.1.1.2，然后其余的允許通過(guò)。默認(rèn)也是缺省的意思，也就是當(dāng)訪問(wèn)控制列表什么都沒(méi)有的話，就拒絕所有！我覺(jué)得這樣也最安全！
10 　20 　30實(shí)際匹配時(shí)按照語(yǔ)句序號(hào)進(jìn)行匹配的，他們之間為什么是10個(gè)單位一增加，因?yàn)槿绻朐谄渲刑砑?#xff0c;這樣不就可以直接添加了嘛！避免因?yàn)榫o挨著順序使用控制列表，而導(dǎo)致不容易修改列表！

如果想改序列號(hào)30　permit any改為25,通過(guò)下面的語(yǔ)句

ip access-list standard 1
25 permit any

如果想刪除哪一個(gè)項(xiàng)

show access-list 10 ：先顯示查看目前的列表　
no 25 permit any 　：直接no掉就好了
通常在執(zhí)行的過(guò)程中，一旦匹配成功一條，后面的就不再匹配（就像非誠(chéng)勿擾里，一旦牽手了以為女嘉賓，你就不能再牽手其他女嘉賓了）

5）語(yǔ)句序號(hào)匹配，一旦匹配，其余不匹配
6）應(yīng)用于穿越流量，不應(yīng)用于發(fā)起流量
也就是訪問(wèn)控制列表只對(duì)通過(guò)它的流向起作用，如果流量是它發(fā)出的，即便訪問(wèn)控制列表里有這個(gè)東西，也不能阻礙流量穿過(guò)！
7）應(yīng)用與目的最近的設(shè)備最好
就像治病，找到病根對(duì)癥下藥比盲目地為各個(gè)部位都治療效果好，應(yīng)用于最近的設(shè)備，所能發(fā)揮的效果也最好，速度快，也不會(huì)影響周邊的通信。

總結(jié)

以上是生活随笔為你收集整理的路由器：访问控制列表的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。