ACL原理及配置实例

1、访问控制列表的作用。

作用就是过滤实现安全性具网络可有管理性一、过滤，经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。

一、标准列表只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。

访问控制别表具有方向性，是以路由器做参照物，来定义out或者inout：是在路由器处理完以后，才匹配的条目in：一进入路由器就匹配，匹配后在路由。

编号范围为：1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，接口为距源最近的接口，方向为in，可以审核三层和四层的信息。

编号范围：100-199如何判断应使用哪种类型的访问控制列表标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。

）扩展：针对源地址，允许或拒绝源去往特定的目的。

或者在涉及四层信息的审核时通常都会采用扩展列表。

（当源确定下来，具有单个源可有多个目的地址时。

）编号的作用：a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。

2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。

4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。

5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。

9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有）10.在某个接口，某个方向上只能调用一个列表。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

ACL概念与配置实例05-31 by LinuxA防火墙必须能够提供控制网络数据流的能力，以用于安全性、qos需求和各种策略制定等各个方面。

实现数据流控制的手段之一是使用acl（access control list，访问控制列表）。

acl是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。

反掩码和子网掩码相似，但写法不同0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围反掩码（11111110）表示所有的偶数，（11111100）表示所有的4的倍数。

于此类推。

通配符any可代替0.0.0.0 255.255.255.255host表示与整个IP主机地址的所有位相匹配标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包标准IP访问控制列表的访问控制列表号从1到99标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝标准访问控制列表一般用在目标地址的入口扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制扩展访问控制列表行中的每个条件都必须匹配，才认为该行被匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制使用的数字号在100到199之间扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝扩展访问控制列表一般用在源地址的出口。

标准的:access-list 1-99 deny/permit 源IP地址扩展的:access-list 100-199 deny/permit ip/tcp/udp/icmp源IP/网段源端口eq/neq/gt/ct 目的IP/网段目的端口eq/neq/gt/ct然后在接口下ip access-group ACL号 out/inACL的处理过程：若第一条不匹配，则依次往下进行判断，直到有任一条语句匹配ACL使用反码来标志一个或几个地址是被允许还是被拒绝配置实例标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表Router(config)# access-list access-list-number { permit | deny } source [source- wildcard-mask ] [log](config)# access-list access-list-number permit any第二步，使用ip access-group命令把访问控制列表应用到某接口Router（config-if）# ip access-group access-list-number { in | out }扩展访问控制列表的配置第一步，使用access-list命令创建一个扩展访问控制列表(config)# access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port][established][log](config)# access-list access-list-number permit ip any any第二步，使用ip access-group命令把一个扩展访问控制列表应用到某接口（config-if）# ip access-group access-list-number { in | out }扩展ACL的应用示例：第一步，创建拒绝来自172.16.4.0去往172.16.3.0的telnet流量的ACLRouter(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)# access-list 101 permit ip any any第二步，应用到接口E0的出方向上Router(config)# interface Ethernet 0Router（config-if）# ip access-group 101 out命名访问控制列表的配置(config)# ip access-list extended cisco其余步骤与上类同，但提示符会变为（config ext-nacl）# ，如果是标准访问控制列表则变为（config std-nacl）#。

ACL技术原理浅析及实例什么是ACL？ACL（Access Control List，访问控制列表）是一种基于规则的访问控制机制，用于控制系统中的资源的访问。

ACL技术基于标准化的访问策略，允许系统管理员向各种资源、设备或文件中的用户或群组分配权限，从而允许或拒绝对资源的访问或执行操作。

ACL技术被广泛应用于网络安全、文件系统安全、操作系统安全、数据库安全等多个领域，是实施安全策略的必要手段之一。

ACL的分类ACL技术主要分为以下两种类型。

基于访问对象的ACL基于访问对象的ACL是根据访问对象来控制访问权限的。

这种ACL 包括访问列表，其中每个条目描述了一个已知的访问对象的访问策略集合。

每个访问列表都由一个列表头（list head）以及一组条目（entry）组成。

列表头包含列表的基本配置，例如名称、列表类型以及默认的访问策略。

基于用户身份的ACL基于用户身份的ACL是根据用户身份来控制访问权限的。

这种ACL 包括一组细粒度的规则，可以用来确定每个用户或群组对特定资源的访问权限。

基于用户身份的ACL可以分为两种类型：•定位（discretionary）ACL：由资源的所有者创建和管理，用来确定哪些用户可以访问资源。

这种ACL具有灵活性和细粒度的控制，但也有可能导致访问控制的不一致和维护困难。

•强制（mandatory）ACL：由系统管理员创建和管理，和基于定位ACL不同，强制ACL是由安全标签规定的，资源的访问权限是根据标签之间的规则来判断的。

这种ACL能够确保强制性安全策略的一致性，但是限制了资源的可用性和灵活性。

ACL的实例下面我们通过基于用户身份的ACL的实例来说明ACL技术在实际场景中的应用。

假设企业内部的员工工号、部门、职务、员工性质等数据都存储在Oracle数据库中，其中职务信息包含了各种不同权限的工作内容。

为了实现工号和职务之间的鉴权控制，需要使用ACL技术。

以Oracle数据库为例，我们可以使用Oracle Label Security（OLS）来实现强制ACL策略的管理。

ACL技术原理浅析及实例ACL（Access Control List）即访问控制列表，是一种网络安全规则，用于控制网络设备对网络数据的流动进行过滤和管理。

ACL技术原理以及实例如下。

一、ACL技术原理具体来说，ACL技术可以分为两种类型，即基于包过滤的ACL和基于上下文的ACL。

1.基于包过滤的ACL基于包过滤的ACL是最常见的ACL技术应用之一，也是最简单的一种。

它基于网络数据的源地址和目的地址、传输协议和端口号来决定是否允许数据包通过。

ACL规则通常包括两个部分，即匹配条件和操作方式。

匹配条件指定了要过滤的网络数据包所需满足的条件，操作方式则定义了匹配条件满足时采取的操作，如允许、阻止等。

2.基于上下文的ACL基于上下文的ACL技术相比于基于包过滤的ACL技术更为复杂。

它不仅考虑了数据包的源地址、目的地址、传输协议和端口号，还会根据网络上下文的情况作出决策。

上下文是指网络设备所处的环境和状态，如时间、用户身份、目标地址类型等。

基于上下文的ACL会根据这些上下文信息进行访问控制决策，从而实现更精细化的网络访问控制。

例如，根据时间段只允许特定用户访问一些特定网站。

二、ACL技术实例下面以两个具体的ACL技术实例来说明ACL技术的应用。

1.企业内部网络的访问控制企业内部的网络环境通常非常复杂，包含了大量的网络设备和用户。

为了保证内部网络的安全性，可以利用ACL技术设置访问控制策略。

例如，在一个企业内部网络中，只允许特定的IP地址范围的用户访问内部的数据库服务器。

管理员可以通过配置ACL规则，限制只有符合条件的用户才能访问数据库服务器，其他用户则被阻止访问。

2.公共无线网络的访问控制在公共场所提供无线网络服务时，为了防止未授权的用户访问网络设备，可以在无线接入点上设置ACL规则。

例如，在一个咖啡店提供的无线网络中，只允许购买咖啡的顾客访问无线网络，其他未购买咖啡的用户则无法连接无线网络。

管理员可以通过ACL技术设置访问控制规则，根据用户的MAC地址进行过滤，只允许被授权的MAC地址连接无线网络。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

访问控制列表的工作原理
1.分清数据流方向，在数据流经过路由器的入、出方向都
设置都生效的时候建议应用到入方向。

（入：先ACL后路由，出：先路由后ACL）
2.访问控制列表管理的是经过路由器的数据包（过路包）
3.匹配访问控制列表的顺序为：由上至下；由范围小至范
围大；默认拒绝剩下所有；如果第一条匹配，则不再往下检查列表；如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃数据。

4.要撤销ACL 顺序建议：先撤销端口应用，再no掉相应
列表
5.标准ACL不能单独删除某一条，只能删除整个ACL组。

三、配置标准访问控制列表
1.创建ACL
Conf#access-list ID(1-99) permit/deny (源IP)
源IP反掩码
Conf#access-list 1 per
192.168.1.1 0.0.0.0
Conf#access-list 1 deny any
192.168.1.1 0.0.0.0=host 192.168.1.1
Any= 0.0.0.0 255.255.255.255
含义：标准acl 序号为1 允许192.168.1.1通行并拒
绝了剩余所有的流量通行
2.应用到端口上
Conf#int f0/0 (进入你要配置规则
的端口)
（Conf-if）#ip access-group 1 in
含义：在f0/0接口的入方向应用了ACL 1 规则。

ACL访问控制列表配置实例分享ACL（Access Control List）访问控制列表是用于控制网络设备的数据流动和访问权限的一种重要网络安全技术。

通过配置ACL，我们可以限制特定IP地址或IP地址段的访问，实现对网络资源的精细化控制。

本文将分享ACL访问控制列表的配置实例，以帮助读者更好地理解和应用ACL技术。

一、ACL基础知识回顾在介绍ACL的配置实例之前，先回顾一下ACL的基础知识。

ACL分为标准ACL和扩展ACL两种类型。

标准ACL仅能根据源IP地址进行过滤，而扩展ACL则可以根据源IP地址、目的IP地址、端口号等多种条件进行过滤。

根据实际应用场景选择合适的ACL类型进行配置。

ACL配置中使用的关键字有：permit（允许通过），deny（拒绝通过），any（任意），host（主机），eq（等于），range（范围），log （记录日志）等。

具体配置过程根据不同网络设备和操作系统的差异而有所差异，本文以常见网络设备为例进行实例分享。

二、标准ACL配置实例标准ACL适用于仅按照源IP地址进行过滤的场景，下面是一个标准ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个标准ACL，命名为“ACL_Standard”。

3. 指定允许或拒绝访问的源IP地址段，例如192.168.1.0/24。

4. 应用ACL到指定的接口，例如应用到GigabitEthernet0/0接口。

5. 保存配置并退出。

三、扩展ACL配置实例扩展ACL可根据源IP地址、目的IP地址、端口号等多种条件进行过滤，适用于更为复杂的网络环境。

以下是一个扩展ACL配置的实例：配置步骤：1. 进入网络设备配置界面。

2. 创建一个扩展ACL，命名为“ACL_Extended”。

3. 指定允许或拒绝访问的源IP地址、目的IP地址、端口号等条件，例如允许源IP为192.168.1.0/24的主机访问目的IP为10.0.0.1的主机的HTTP服务（端口号为80）。

ACL原理及配置实例ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。

ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。

ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。

因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：首先，需要创建一个ACL用于定义规则列表。

ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```Router(config)# ip access-list extended ACL_NAME```ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：在ACL中添加规则，来定义对网络流量的过滤行为。

每个规则都可以包含多个条件和一个动作。

```Router(config-ext-nacl)# permit/deny protocol source-address source-wildcarddestination-address destination-wildcard [operator [port]]```其中，protocol表示协议类型，可以是tcp、udp、icmp等；source-address和destination-address表示源地址和目标地址；source-wildcard和destination-wildcard表示源地址和目标地址的通配符掩码；operator表示具体的操作符，可以是eq、gt、lt、range等；port表示端口号或范围。

ACL技术原理浅析及实例也可以按照网段进行大范围的访问控制管理。

个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分。

编号范围是从1到99的访问控制列表是标准IP访问控制列表。

扩展配置，ACL技术原理浅析及实例。

关键词：IP，访问控制，标准，扩展配置一、引言：ACL是一种基于包过滤的流控制技术，在路由器中被广泛采用，它可以有效的在三层上控制网络用户对网络资源的访问，既可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理。

通过实施ACL，可以有效的部署企业网络出网策略，也可以用来控制对局域网内部资源的访问能力，保障资源安全性，但会增加增加路由器开销，也会增加管理的复杂度和难度，是否采用ACL技术，是管理效益与网络安全之间的一个权衡。

初期仅在路由器上支持ACL，近些年来已经扩展到三层交换机，部分二层交换机如2950之类也开始提供ACL的支持。

二、概述：1．ACL工作原理：ACL：Acess Control List，即访问控制列表。

这张表中包含了匹配关系、条件和查询语句，ACL表只是一个框架结构，其目的是为了对某种访问进行控制，使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

(注意：过滤的依据仅仅只是第三层和第四层包头中的部分信息，如无法识别到具体的人，无法识别到应用内部的权限级别等。

论文写作，扩展配置。

因此，要和系统级及应用级的访问权限控制结合使用)ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝。

ACL主要用于对入站数据、出站数据、被路由器中继的数据进行控制。

2．ACL工作过程：(1) 无论路由器上有没有ACL，接到数据包后，当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，否则通过查路由选择表发现该路由的详细信息及对应的出接口；(2) 假设可路由，则找出要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，没有，则直接从该口送出。

ACL简单的配置ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。

利用ACL可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

一、实验配置拓扑图图一图二网络中的DNS服务器:192.168.1.2图三网络中的WWW服务器:192.168.1.3二、三个路由器的基本配置LuoShan#sh startup-configUsing 699 bytes!version 12.4no service password-encryption!hostname LuoShan!!enable password cisco!!!!username senya password 0 cisco!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.3.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0ip address 172.17.1.1 255.255.255.0 clock rate 56000!interface Serial0/3/1ip address 172.18.1.2 255.255.255.0 !interface Vlan1no ip addressshutdown!router eigrp 100network 192.168.3.0network 172.17.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password ciscologin!!endHuangChuang#sh startup-configUsing 669 bytes!version 12.4no service password-encryption!hostname HuangChuang!!enable password cisco!!!!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.2.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0ip address 172.17.1.2 255.255.255.0 !interface Serial0/3/1ip address 172.16.1.1 255.255.255.0 clock rate 56000!interface Vlan1no ip addressshutdownrouter eigrp 100network 192.168.2.0network 172.17.0.0network 172.16.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password ciscologin!!endxixian#sh startup-configUsing 679 bytes!version 12.4service password-encryption!hostname xixian!!enable password 7 0822455D0A16 !!!!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdowninterface FastEthernet0/1ip address 192.168.1.1 255.255.255.0duplex autospeed auto!interface Serial0/3/0ip address 172.18.1.1 255.255.255.0clock rate 56000!interface Serial0/3/1ip address 172.16.1.2 255.255.255.0!interface Vlan1no ip addressshutdown!router eigrp 100network 192.168.1.0network 172.18.0.0network 172.16.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password 7 0822455D0A16login!!end三、配置简单的ACL１、配置ACL限制远程登录到路由器的主机HuangChuang#conf tEnter configuration commands, one per line. End with CNTL/Z. HuangChuang(config)#access-list 1 permit host 192.168.2.2 ＼＼路由器HuangChuang只允许192.168.2.2远程登录(telnet)HuangChuang(config)#line vty 0 4HuangChuang(config-line)#access-class 1 inHuangChuang(config-line)#其它两个路由器配置相似。

Cisco ACL原理及配置详解什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

标准访问控制列表的格式访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号 permit|deny host ip地址例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。