ACL：访问控制列表

1.ACL的作用

• 访问控制
• 抓取感兴趣流量

访问控制：通过在路由器上定义一张ACL列表，在路由器的接口的某个方向上调用之后实现让路由器根据表中的定义的规则对流量进行动作——允许或拒绝

2.ACL分类

1. 标准ACL：只能识别数据包中的源IP地址
2. 扩展ACL：可以识别数据包中的源，目IP，源，目端口和协议号

3.ACL匹配规则

至上而下逐一匹配，命中即执行动作，不再查看下一条规则；末尾隐含拒绝所有。

4.ACL的两种写法

1. 编号
2. 命名

标准ACL：只能识别数据包中的源IP地址，为了避免误删，调用时尽量靠近目标

（1）编号：1-99编号属于标准acl，一个编号一张表（删除一条整张表消失）

r1(config)#access-list 1 deny host 192.168.2.2   //拒绝单个IP
r1(config)#access-list 1 permit any    //允许所有
r1(config)#interface fastEthernet 0/2   //接口调用
r1(config-subif)#ip access-group 1 out 

（2）命名：默认规则以10+的序号排列

r1(config)#ip access-list standard haha
r1(config-std-nacl)#deny host 192.168.2.2
r1(config-std-nacl)#permit any
r1(config)#interface fastEthernet 0/2
r1(config-subif)#ip access-group haha out 

查看ACL列表
r1#show ip access-lists 
Standard IP access list haha
10 deny host 192.168.2.2 (6 match(es))
20 permit any

注：r1(config)#access-list 1 deny 192.168.2.0 0.0.0.255 //拒绝范围

扩展ACL：可以识别数据包中的源、目IP，源、目端口和协议号，为了避免流量消耗资源，调用时尽量靠近源

（1）编号：100-199

r1(config)#access-list 100  deny  ip  host 192.168.2.2 host 192.168.3.2
               前缀    编号   动作 协议          源          目标
r1(config)#access-list 100 permit ip   any    any

（2）命名：默认规则以10+的序号排列，根据序号增删改查

r1(config)#ip access-list extended www
r1(config-ext-nacl)#deny ip host 192.168.2.2 host 192.168.3.2
r1(config-ext-nacl)#permit ip any any

拒绝范围：
r1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255