一、认识ACL

A、访问控制列表(ACL)是应用在路由器接口的指令列表。随着网络应用及技术的日益发展，在一些核心的路由交换机，甚至边缘交换机上也应用了这一技术，以期在网络的各个部分实现分布式的有效的控制。ACL 指令列表用来告诉路由器(交换机)哪些数据报可以接收、哪一些需要拒绝。至于是接收还是被拒绝，可以由类似源地址、目的地址、端口号等的特定条件来决定。

B、ACL 通过在访问控制列表中对目的地址进行归类，来管理通信流量和处理待定的数据包。归类处理每个特定接口的 ACL ，从而通过该接口的所有通信流量都要按照 ACL 所指定的条件接受检测。

C、ACL 适用于所有的路由协议。当这些协议的数据包经过路由器(交换机)时，都可以利用 ACL 来过滤它们。可以在路由器(交换机)上配置 ACL ，用来控制对某一网络或子网的访问。ACL通过在路由器(交换机)接口处控制数据包是被转发还是被阻塞来过滤网络通信流量。路由器(交换机)根据 ACL 中指定的条件来检测通过的每个数据包。这个条件既可以是数据包的源地址，也可以是目的地址，还可以是上层协议或其他因素。ACL 的定义是基于所有协议的。换言之，如果想要控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的 ACL(对有些协议来说，ACL 就像一个过滤器)。例如，要把路由器(交换机)接口配置成支持３种协议，那么你至少要定义３个访问控制列表。通过灵活的增加访问控制列表，ACL 可以当作一种网络控制的有力工具，用来过滤进出路由器(交换机)接口的数据包。建立 ACL 可以用来 ：

1、限制网络流量，提高网络性能

2、 提供对网络流量的控制手段

3、提供网络访问的基本安全手段

4、在路由器接口处，决定哪种类型的通信流量被转发，哪种被阻塞

二、ACL配置拓扑

使用标准访问控制列表，让 R101 可以访问 R102，而 R103 不能访问 R102。

三、ACL配置

1、做好基本配置，并测试连通性：

R101 上的配置：

R101#conf t

R101(config)#int e0

R101(config-if)#ip add 192.168.100.101 255.255.255.0

R101(config-if)#no shut

R102 上的配置：

R102#conf t

R102(config)#int e0

R102(config-if)#ip add 192.168.100.102 255.255.255.0

R102(config-if)#no shut

R103 上的配置：

R103#conf t

R103(config)#int e0

R103(config-if)#ip add 192.168.100.103 255.255.255.0

R103(config-if)#no shut

R102#conf t

R102(config)#access-list 1 permit host 192.168.100.101 /建立访问控制列表

R102(config)#access-list 1 deny host 192.168.100.103

R102(config)#ing e0

R102(config-if)#ip access-group 1 in /将访问控制列表绑在接口上，注意是 in 还是 out

2、扩展访问控制列表

R101 上的配置：

R101#conf t

R101(config)#int s0

R101(config-if)#ip add 172.18.16.1 255.255.255.0

R101(config-if)#no shut

R101(config-if)#int e0

R101(config-if)#ip add 192.168.0.1 255.255.255.0

R101(config-if)#no shut

R101(config)#ip route 0.0.0.0 0.0.0.0 172.18.16.254

R102 上的配置：

R102#conf t

R102(config)#int s0

R102(config-if)#ip add 172.18.16.254 255.255.255.0

R102(config-if)#clock rate 64000

R102(config-if)#no shut

R102(config-if)#int s1

R102(config-if)#ip add 10.1.1.254 255.255.255.0

R102(config-if)#clock rate 64000

R102(config-if)#no shut

R102(config-if)#ip route 192.168.0.0 255.255.255.0 172.18.16.1

R102(config-if)#ip route 172.16.1.0 255.255.255.0 10.1.1.1

R103 上的配置：

R103#conf t

R103(config)#int s1

R103(config-if)#ip add 10.1.1.254.255.255.255.0

R103(config-if)#no shut

R103(config-if)#int e0

R103(config-if)#ip add 172.16.1.1 255.255.255.0

R103(config-if)#no shut

R103(config-if)#ip route 0.0.0.0 0.0.0.0 10.1.1.254

在 R102 上使用扩展访问控制列表，使 R101,可以通过 10.1.1.1 telnet 到 r103，但无法ping 通 10.1.1.1，可以 ping 通地址 172.16.1.1，R101 通过 R102 的其他访问全部拒绝，其他通过 R102 的访问全部都不受影响实现命令：

R102(config)#access-list 100 permit icmp host 172.18.16.1 host 172.16.1.1 echo

R102(config)#access-list 100 permit tcp host 172.18.16.1 host 10.1.1.1 eq telnet

R102(config)#access-list 100 deny ip host 172.18.16.1 any

R102(config)#access-list 100 permit ip any any

R102(config)#int s1

R102(config-if)#ip access-group 100 out

以下是华为数通路由交换方向完整技术分享，欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】

华为新版HCIA数通路由交换