ACL访问控制列表简介以及实验

　　ACL（访问控制列表Access Control List）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。
　　配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。ACL既可以在路由器上配置，也可以在具有ACL功能的业务软件上进行配置。
　　ACL是物联网中保障系统安全性的重要技术，在设备硬件层安全基础上，通过对在软件层面对设备间通信进行访问控制，使用可编程方法指定访问规则，防止非法设备破坏系统安全，非法获取系统数据。
　　1、ACL的基本原理
　　ACL通过包过滤技术，在路由上读取第三层及第四层包头中的信息(源地址、目的地址、源端口、目的端口；根据预先定义好的规则进行过滤从而达到)
　　ACL标准范围编号 2000-2999
　　ACL扩展范围编号 3000---3999
　　2、ACL的作用
　　1）在路由器端口上处决哪种类型的通信流量可以通过或者决绝--可以基于协议或者端口进行策略！比如：可以允许www（80端口）同次你而拒绝Telnet通信；
　　2）提供网络安全访问的基本手段
　　3）可以限制网络多余的流量、提供网络性能
　　3、ACL的类型
　　主流的ACL有两种：标准ACL和扩展ACL
　　cisco设备的ACL
　　标准ACL使用：1-99 及1300---1999
　　扩展ACL使用：100-199及2000-2699
　　4、ACL访问控制列表实验
　　在企业环境需求中，通常会有关于访问控制的需求。通常对于访问控制需求的配置，设置一些数据包被接收，一些数据包被拒绝。ACL访问控制列表使用包过滤技术，实在路由器上读取OSI七层模型的3、4层进行检测，包括对于IP地址，端口进行策略的匹配，从而达到访问控制的目的。
　　拓扑如下：

　　具体需求：
　　1）VLAN 10中的所有主机都可以在工作时间周一至周五8:30-17:30访问副武器的web服务，但拒绝其他服务。
　　2）只允许PC1可以ping服务器，禁止其他所有主机ping服务器
　　3）为SW1添加用户和密码，要求主机PC1登录。
　　具体实施步骤：
　　1）连接网络，保证网络连通
　　根据拓扑连接网络　　　　IP地址规划：
　　PC1:192.168.1.1       网关：192.168.1.2
　　PC10:192.168.2.1     网关：192.168.2.2 
　　服务器：192.168.3.1   网关：162.168.3.2
　　配置IP地址
　　PC1　　　PC10　　　　路由器（模拟路由器）上配置IP地址
　　　　在三台交换机上换分VLAN信息　　　　根据拓扑相应端口划分VLAN中　　　相应VLAN配置为PC何服务器的网关地址为IP地址　　　　配置交换机相连接口为truch口　　　验证连通性　　　2）配置访问列表完成需求
　　配置使用VLAN中所有用户都可以在工作时间访问服务器的web服务　　　配置，使只有PC1可以ping服务器，并且只有PC1可以访问SW1　　　在接口应用　　　3）验证
　　a) 改变时间后VLAN10用户可以访问WEB服务
　　b) 只有PC1 可以PING 服务器
　　扩展ACL功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数，将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。