ACL理论及练习配置文档

ACL（访问控制列表）理论：

ACL简单的说就是一个列表

基本的ACL可以让你去哪里就去哪里不让你去哪里就不能去哪里

拓展的ACL可以让你去哪里干什么不让你去哪里干什么

ACL首先需要观察你需要控制的两个网段的数据流方向

然后分清楚源地址（起点）和目的地址（目的地）

基本的ACL格式

可以看到在后面可以打一个IP地址或者是一个网段但是要跟上通配符（0.0.0.255 表示网段0.0.0.0表示一个IP地址）（这里就是源地址也就是起点）

一个any 这表示所有的

Host就是一个主机后面跟的就是一个IP地址

打完以一段跟源头有关的接着打目的地的

基本的ACL直接在后面跟你需要的网段号或者IP地址就行了

拓展的其实原理跟基本的一样只是需要在premit或者deny后面跟一个ip后者tcp

源和目的都需要跟基本ACL里打源头的方法一样一个（IP地址或者是一个网段但是要跟上通配符）

TCP后面记得添加一个端口号(列如：eq ftp)

题目配置

SW1配置

SW1>en

SW1#conf

SW1(config)#vlan 10

SW1(config-vlan)#vlan 20

SW1(config-vlan)#vlan 30

SW1(config-vlan)#int vlan 10

SW1(config-if)#ip address 192.168.10.254 255.255.255.0

SW1(config-if)#interface vlan 20

SW1(config-if)#ip address 192.168.20.254 255.255.255.0

SW1(config)#interface vlan 30

SW1(config-if)#ip address 192.168.30.254 255.255.255.0

SW1(config)#interface fastEthernet 0/24

SW1(config-if)#ip address 192.168.1.1 255.255.255.0

R1配置：

R1>

R1>en

R1#conf

R1(config)#in

R1(config)#interface f0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.1.2 255.255.255.0

R1(config)#interface f0/1

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.100.1 255.255.255.0

R1(config)#interface f1/0

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.200.1 255.255.255.0

因为数据是从SW1出来的所以我们在SW1上做ACL

SW1(config)#access-list 100 permit ip host 192.168.10.1 host 192.168.100.2

SW1(config)#access-list 100 deny tcp 192.168.20.0 0.0.0.255 ho 192.168.100.2 eq ftp

SW1(config)#access-list 100 permit ip 192.168.30.0 0.0.0.255 any

在出口F0/24上应用该ACL

SW1(config)#int f0/24

SW1(config-if)#ip access-group 100 out （因为数据是从F0/24出去的所以是out 数据是从其他口进来的那就在相应的进口打IN）

本文来源：https://www.bwwdw.com/article/phul.html