标准访问控制列表 和 扩展访问控制列表

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

访问控制列表AccessList路由器使用访问控制列表（ACL）来识别数据流，然后对其进行过滤、加密、分类或转换，以更好地管理和控制网络的功能。

标准访问列表：编号1-99或1300-1999，只检查分组的源地址，允许或禁止整个协议簇的分组通过。

扩展访问列表：编号100-199或2000-2699，检查分组的源地址、目标地址、协议、端口号和其他参数。

重点：1、入站访问列表的效率比出站访问列表高；2、路由器按顺序自上而下地处理访问列表中的语句；3、将具体条件放在一般性条件前，将常发生的条件放在不常发生的条件前；4、访问列表的最后有一条隐式的deny语句（access-list 1 deny any），分组将被禁止通过；5、新添的语句总被放在访问列表末尾，隐式的前面；6、使用编号访问列表时不能有选择性的删除其中一条语句，但使用名称访问列表可以（IOS11.2以上）；7、在每个接口的每个方向上针对每种协议的访问列表只能有一个，同一个接口上可以有多个访问列表，但必须是针对不同协议的。

等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务，其余主机可以：rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数，y为奇数时允许，其他拒绝：rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表：rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议（Routing Information Protocol）是一种距离矢量路由选择协议，使用跳数作为度量值来选择路径，最大跳数15跳，最多6条路径间负载均衡。

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表：上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢？或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务（例如WWW，FTP等）。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式：扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下：access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍：我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段，分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务，IP地址为172.16.4.13。

配置任务：禁⽌172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可配置任务：以访问172.16.4.13上的WWW服务，⽽其他服务不能访问。

路由器配置命令：access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101，容许源地址为任意IP，⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

access-list（访问控制列表的配置）示例：编号方式标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）◆允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222◆禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any◆允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）◆禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类：网络试验| 标签：acl 访问控制列表|字号大中小订阅试验目的：熟悉标准访问控制列表的应用。

试验设备：r1、r2、r3、sw1、sw2、vpcs。

说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。

试验内容：由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。

1、只允许命令如下：r3(config)#access-list 1 permit /定义一个ACL名字为1，只允许，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以，而第四位可以任意。

r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上，控制出站数据流。

这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了，都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。

r3(config)#access-list 1 permit host /只允许，host 效果等同于这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。

3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。

请读者自行测试。

ACL1.访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝。

（标号1—99）扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志（100-199）命名访问控制列表：允许在标准和扩展访问控制列表中使用命名来代替标号定时访问控制列表：提供基于时间的附加访问控制。

2.标准的ACL配置语法：Router（config）#access-list （1—99） {permit|deny} 源ip的网段反掩码1.允许192.168.1.0/24和192.168.1.2 的流量通过Router（config）#access-list 1 permit 192.168.1.0 0.0.0.255Router（config）#access-list 1 permit 192.168.1.2 0.0.0.0.0或Router（config）#access-list 1 host 192.168.1.12.拒绝访问任何网段 Router（config）#access-list 2 deny any3.删除以建立的ACL Router（config）# no access-list 14.将ACl应用到端口 Router（config-if）#ip access-group （1——99）{in | out }3.扩展访问ACL 配置Router（config）#access-list （100-199）{permit | deny} protocol {原地址反掩码目标地址反掩码} [operator operan ]Operator:lt-小于；gt—大于；eq—等于；neq-不等于Protocol：TCP;UDP;IP;ICMP1.允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。

而拒绝其他的任何流量Router（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router（config）#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。

《网络互联技术》练习题第七章：访问控制列表参考答案一、填空题1、_访问控制列表_是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。

2、访问控制列表主要分为_标准访问控制列表_和扩展访问控制列表。

3、访问控制列表最基本的功能是_数据包过滤_。

4、标准访问控制列表的列表号范围是_1-99_。

5、将 66 号列表应用到fastethernet 0/0接口的in方向上去，其命令是_ip access-group 66 in 。

5、定义 77 号列表，只禁止192.168.5.0网络的访问，其命令是_access-list 77 deny 192.168.5.0 0.0.0.255;access-list 77 permit any_。

6、基于时间的访问控制列表，定义时间范围的关键字主要有两个，它们是_absolute_和_periodic_。

二、选择题1、标准访问控制列表应被放置的最佳位置是在（ B ）。

A、越靠近数据包的源越好B、越靠近数据包的目的地越好C、无论放在什么位置都行D、入接口方向的任何位置2、标准访问控制列表的数字标识范围是（ B ）。

A、1-50B、1-99C、1-100D、1-1993、标准访问控制列表以（ B ）作为判别条件。

A、数据包的大小B、数据包的源地址C、数据包的端口号D、数据包的目的地址4、IP扩展访问列表的数字标示范围是多少? （ C ）。

A、0-99B、1-99C、100-199D、101-2005、下面哪个操作可以使访问控制列表真正生效：（ A ）。

A、将访问控制列表应用到接口上B、定义扩展访问控制列表C、定义多条访问控制列表的组合D、用access-list命令配置访问控制列表6、以下对思科系列路由器的访问列表设置规则描述不正确的是（ B ）。

A、一条访问列表可以有多条规则组成B、一个接口只可以应用一条访问列表C、对冲突规则判断的依据是：深度优先D、如果您定义一个访问列表而没有应用到指定接口上，思科路由器默认允许所有数据包通过该接口中。

华为acl访问控制列表实例ACL是路由器和交换机接口的指令列表，用来控制端口进出的数据包，告诉路由器哪些数据包可以接收、哪些数据包需要拒绝，保证网络资源不被非法使用和访问。

下面是店铺给大家整理的一些有关华为acl访问控制列表配置，希望对大家有帮助!华为acl访问控制列表配置访问控制列表：ACL:(accesscontrollist)适用所有的路由协议：IP,IPX,AppleTalk控制列表分为两种类型：1.标准访问控制列表：检查被路由数据包的源地址、1~99代表号2.扩展访问控制列表：对数据包的源地址与目标地址进行检查。

访问控制列表最常见的用途是作为数据包的过滤器。

其他用途;可指定某种类型的数据包的优先级，以对某些数据包优先处理识别触发按需拨号路由(DDR)的相关通信量路由映射的基本组成部分ACL能够用来：提供网络访问的基本安全手段访问控制列表可用于Qos(QualityofService,服务质量)对数据流量进行控制。

可指定某种类型的数据包的优先级，以对某些数据包优先处理起到了限制网络流量，减少网络拥塞的作用提供对通信流量的控制手段访问控制列表对本身产生的的数据包不起作用，如一些路由更新消息路由器对访问控制列表的处理过程：(1)如果接口上没有ACL，就对这个数据包继续进行常规处理(2)如果对接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合将会检测它：*若第一条不匹配，则依次往下进行判断，直到有一条语句匹配，则不再继续判断。

路由器将决定该数据包允许通过或拒绝通过*若最后没有任一语句匹配，则路由器根据默认处理方式丢弃该数据包。

*基于ACL的测试条件，数据包要么被允许，要么被拒绝。

(3)访问控制列表的出与入，使用命令ipaccess-group，可以把访问控制列表应用到某一个接口上。

in或out指明访问控制列表是对近来的，还是对出去的数据包进行控制【在接口的一个方向上，只能应用1个access-list】路由器对进入的数据包先检查入访问控制列表，对允许传输的数据包才查询路由表而对于外出的数据包先检查路由表，确定目标接口后才检查看出访问控制列表====================================== ================================应该尽量把放问控制列表应用到入站接口，因为它比应用到出站接口的效率更高：将要丢弃的数据包在路由器惊醒了路由表查询处理之前就拒绝它(4)访问控制列表中的deny和permit全局access-list命令的通用形式：Router(config)#access-listaccess-list-number{permit|deny}{testconditions}这里的语句通过访问列表表号来识别访问控制列表。

一些关健字：
permit--允许deny--拒绝ip access-list--控制列表any--所有
group--归类standatd--标准extended--扩展
一共分为三种：
1、标准访问控制列表(standatd) 命名号：1～99 特性：速度快，只有源地址access-list 1
2、扩展访问控制列表（extended) 命名号：100～199特性：功能多，指定源地址和目标地access-list 100
3、命名访问控制列表包括两种定义：standatd （标准）extended （扩展）
ip acces-list (standatd OR extended) (name)
址可以是各种协议等。

创建过程：
先创建ACL，然后应用到端口或VLAN、VTY.....
简单实例：
1、标准的ACT
拒绝所有来自192.168.1.1单个IP的流量
ip access-list standatd 1 创建命名为“1”的标准访问控制列表1 deny 192.168.1.1 0.0.0.0 拒绝所有来自192.168.1.1的访问
permit 0.0.0.0 255.255.255. 允许所有访问(如果是拒绝的，后面一定要加允许所有，因为有一条默认全拒绝的规则）
int f0/2 进入f0/2口（也可以是VLAN,VTY等）
ip access-group 1 in 将ACT 1应用于f0/2入口
另一种简写法
ip access-list standatd 1
ip access-list deny host 192.168.1.1
ip access-list permit any
1、扩展ACT。

问控制列表：分类：1、标准访问控制列表：过滤的是第三层的流量2、扩展访问控制列表：过滤的是第三层和第四层的流量3、自反访问控制列表：过滤的是3--5层的流量(RACL)4、动态访问控制列表：过滤的是3--5层的流量5、基于上下文的访问控制列表（CBAC）：过滤7层的流量（最好的ACL）6、基于时间的访问控制列表7、命名的访问控制列表（可以修改命令执行的顺序，而标准和扩展ACL不能修改执行顺序）外部网络企业路由企业内网R1-----S1/1---------S1/0----------R2-------S1/1----------S1/0反射ACL，也叫做自反ACL。

内网访问外网的时候，在企业路由上，触发生成一个临时的ACL条目，允许外部网络传数据到企业内网。

这个临时条目，倒计时删除（时间见下面试验）我测试下，只能在命名ACL上来实现。

网络基本连通性配置;R1:Router>enRouter#confi tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#host R1R1(config)#int s1/1R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#router ripR1(config-router)#net 192.168.12.0R1(config-router)#endR1(config)#line vty 0 4R1(config-line)#password 123R1(config-line)#loginR1(config-line)#exitR1(config)#enable password 123R2:Router>enRouter#confi tRouter(config)#host R2R2(config)#int s1/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#int s1/1R2(config-if)#ip add 192.168.23.1 255.255.255.0R2(config-if)#no shutR2(config-if)#exitR2(config)#router ripR2(config-router)#R2(config-router)#net 192.168.12.0R2(config-router)#net 192.168.23.0R2(config-router)#endR2#R3:R3(config)#int s1/0R3(config-if)#ip add 192.168.23.2 255.255.255.0R3(config-if)#no shutR3(config-if)#exitR3(config)#router ripR3(config-router)#net 192.168.23.0R3(config-router)#endR3(config)#enable password 123R3(config)#line vty 0 4R3(config-line)#password 123R3(config-line)#loginR3(config-line)#endR3#测试：R1#ping 192.168.23.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 28/41/64 ms R1#telnet 192.168.23.2Trying 192.168.23.2 ... OpenUser Access V erificationPassword:R3>enPassword:R3#R3:R3#ping 192.168.12.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 40/50/60 ms R3#R3#telnet 192.168.12.1Trying 192.168.12.1 ... OpenUser Access V erificationPassword:R1>enPassword:R1#下面试验反射ACL(自反ACL)R2(config)#ip access-list extended outacl 建立访问控制列表（名称的）内网出去的R2(config-ext-nacl)#permit ip any any reflect out-ip （建立该控制列表的自反控制列表）R2(config-ext-nacl)#exitR2(config)#ip access-list extended inacl 建立外网到内网的访问控制列表R2(config-ext-nacl)#evaluate out-ip 评估自反访问控制列表------就是调用自反访问控制列表R2(config-ext-nacl)#int s1/0 放置到接口下R2(config-if)#ip access-group outacl out 内网到外网的数据流：outR2(config-if)#ip access-group inacl in 外网到内网的数据流：in测试：R3:R3#ping 192.168.12.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/16/24 msR3#telnet 192.168.12.1Trying 192.168.12.1 ... OpenUser Access V erificationPassword:R1>enPassword:R1:R1#ping 192.168.23.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.23.2, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)R1#telnet 192.168.23.2Trying 192.168.23.2 ...% Destination unreachable; gat反射访问控制列表是成功的。

acl的功能：1.访问控制2. 匹配：a.匹配数据 b.匹配路由。

配置：1.标准访问控制列表：①access-list（1-99）基于ip标准，只能控制ip包。

（1300-1999）不常用。

②编号的没有办法针对某一行单独删除，也不可以进行插入，支持行号重排；命名的都可以。

③只能匹配源ip。

④当匹配路由时，只能控制网络号，不能控制掩码（掩码比须一致）。

a. 编号的:R2(config)#access-list [list number][permit | deny][source address][wildcard-mask][log]例如: R2(config)#access-list 10 permit 12.1.1.1 0.0.0.0R2(config)#access-list 10 permit 1.1.1.0 0.0.0.255b. 命名的：R2(config)#ip access-list standard[（1-99,1300-1999）| （wolf ，wolf123 ，e@#￥，......)]例如：R2(config)#（行号）ip access-list standardwolf （行号可选，一般在需要插入的时候使用）R2(config-std-nacl)#permit 4.4.4.40.0.0.255 (可进到该表下，不必再像编号那样每次都accless）R2(config-std-nacl)#permit 5.55.5.0 0.0.255.254R2(config-std-nacl)#remark ce shi (描述:针对上面一行）R2(config-std-nacl)#deny host 192.168.0.12.扩展访问控制列表：a.编号的：R2(config)#access-list [list num.] [per | deny][protocol | protocol keyword] [source address][source-wildcard] [source port] [dest address] [dest-wildcard] [dest port] [log] [options]①access-list（100-199）不仅基于ip，还可以支持tcp、udp、icmp、等协议。

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

acl标准和扩展编号
在计算机网络和系统管理中，"ACL" 通常指的是"Access Control List"（访问控制列表），用于规定对资源的访问权限。

不同的设备和操作系统可能有不同的ACL 标准和扩展编号，以下是一些常见的ACL 标准和扩展编号的示例：
Cisco 路由器上的ACL 标准编号：
•标准ACL：1-99
•扩展ACL：100-199
Cisco ASA 防火墙上的ACL 标准编号：
•标准ACL：1-99
•扩展ACL：100-199, 2000-2699
Cisco 路由器和交换机上的ACL 扩展编号：
•标准ACL：1-99
•扩展ACL：100-199, 2000-2699
路由器上的ACL 标准和扩展编号（一般）：
•标准ACL：1-99
•扩展ACL：100-199, 200-299, ..., 1300-1999
Linux 系统上的iptables（Netfilter）规则编号：
•输入链（Input）：1-32767
•输出链（Output）：1-32767
•转发链（Forward）：1-32767
Windows 防火墙规则编号：
•Windows 防火墙规则：具有唯一的GUID 标识符
请注意，这只是一些常见的ACL 标准和扩展编号的示例，实际上，具体的编号可能会因不同设备、操作系统、网络设备或应用而有所不同。

在配置ACL 时，你应该参考相应设备或系统的文档以了解正确的编号范围和使用规则。