ACL（accsec contorl list)協議---訪問控制列表。

1 作用-----控制數據的訪問和互通。

2 訪問控制列表的類型：
標準訪問控制列表：僅僅關註源IP地址。建議配置在離目標端最近的路由上
擴展訪問控制列表：關註源IP地址和目標地址，還可以關註TCP，UDP等信息，流量控制更加精準。配置在離源端最近的路由上，一般應用在入端口方向
命名（標準/擴展）訪問控制列表：允許在標準和擴展訪問列表中使用名稱代替表號

3 實現步驟-----第一是制定規則，第二是制定執行規則動作permit(允許）或者deny(拒絕），第三是在正確的設備端口上調用ACL。

在實際的工作當中，我們使用最多的是命名訪問控制列表，接下來將通過實驗看下具體配置：

實驗：如上面拓撲圖所示，紅色區域表示內網，藍色區域表示外網，此時全網互通。要求：PC4不能訪問服務器的網頁。

思路：形象一點表達：張三的家是pc4，他想開車拜訪加在藍色區域服務器的李四。當他出門走到R1的路口時，交警ACL叫他靠邊停車詢問，你是誰？去哪裏？經過詢問張三被扣壓，原因是根據局裏發的《不放行通知》，他因為交通事故逃逸，已經進入了黑名單。

對應關系：

tcp(應用到應用的訪問協議）-----張三

服務器web服務—李四

ACL的名字內容--《不放行通知》

調用ACL---在R1路口執行此通知

配置步驟：（我們使用命名擴展ACL配置）

1 建立ACL並且配置ACL的規則

R1(config)#ip access-list extended no//建立名字是no的ACL

R1(config-ext-nacl)#10 deny tcp host 192.168.1.1 host 192.168.1.254//ACL內容10：不允許從192.168.1.1發出 tcl 數據包 經過192.168.1.254

R1(config-ext-nacl)#20 permit ip any any //ACL內容20：除tcl數據流量以外其它可以放行

2 調用ACL

R1(config)#interface g0/0 //進入端口1

R1(config-if)#ip access-group no in // 啟用名字為no的ACL,從此端口進入的符合規則的數據流量不允許通過

註意：標準的ACL應該用在距離目標近的位置

擴展的ACL應該用在距離目標遠的位置

本文出自 “13440962” 博客，請務必保留此出處http://13450962.blog.51cto.com/13440962/1982954

ACL協議+實驗