ACL詳解

使用原則：
1、最小特權原則：給受控對象完成需求所必須的最小權限
2、最靠近受控對象原則：在最靠近受控對象的網絡節點佈置策略
3、默認丟棄原則：ACL最後又一條隱藏的拒絕所有（即：deny any any）
標準訪問控制列表：（控制列表號1~99）
原理：通過使用IP包中的源IP地址進行過濾。
格式：access-list ACL號 permit/deny host ip地址
例如：access-list 10 deny host 192.168.1.1這句命令是將所有來自192.168.1.1地址的數據包丟棄
配置流程：
conf t #進入全局模式
access-list (1~99) deny/permit host srouceIP #書寫ACL
int e 0 #進入端口
ip access-group (1~99) in/out #宣告ACL 並指定方向
exit #保存、退出
拓展訪問控制列表：（控制列表號100~199）
原理：對數據包的目的地址進行過濾
格式：access-list ACL號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]
例如：access-list 101 deny tcp any host 192.168.1.1 eq www這句命令是將所有主機訪問192.168.1.1這個地址網頁服務（WWW）TCP連接的數據包丟棄
配置流程：
conf t
access-list (100~199) deny/permit protocol srcouceIP purposeIP
int e 0
ip access-group (100~199) in/out
exit
建議：由於拓展訪問控制列表對路由器的佔用率遠高於標準訪問控制列表，so儘量將拓展訪問控制列表標準化
基於名稱的訪問控制列表：
原理：修改ACL條目，其它條目不受影響
格式：ip access-list [standard|extended] [ACL名稱]
例如：ip access-list standard softer就建立了一個名爲softer的標準訪問控制列表
配置流程：
conf t
ip access-list standard/extended ACLname
permit 1.1.1.1 0.0.0.0
permit 2.2.2.2 0.0.0.0
permit 3.3.3.3 0.0.0.0
exit
int e 0
ip access-group ACLname in/out
exit
反向訪問控制列表：
特點：反向訪問控制列表屬於ACL的一種高級應用，通過配置反向ACL可以保證AB兩個網段的計算機互相PING，A可以PING通B而B不能PING通A
格式：反向訪問控制列表格式非常簡單，只要在配置好的擴展訪問列表最後加上established即可