192.168.3.1(192.168.3.1.1 登录入口)

前沿拓展：

在学习到ACL这一技术的时候，感觉有些许的难以理解。特别是复杂一点的拓扑，难以分辨入口和出口。但是通过听课后，看到老师用动画演示来让我们去清晰地分辨，设置禁止或允许进入路由器的流量就是入口，反之则是出口。基本的ACL配置起来要比高级ACL简单许多，这篇学习笔记是我通过基本的ACL实验整理的。

ACL的基本概念：

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL是由一系列permit或deny语句组成的、有序规则的列表；它通过匹配报文的相关字段实现对报文的分类。ACL是一个匹配工具，是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；还能够对报文进行匹配和区分。

ACL的组成：

1.编号：配置ACL时，每个人都需要分配一个编号用来标识ACL。

2.规则：一个ACL通常由若干条“permit/deny”语句组成，每条语句就是 该ACL的一条规则。

3.规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

4.动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指 “允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。比如：ACL如果与流量过滤技术结合使用，permit就 是“允许通行”的意思，deny就是“拒绝通行”的意思。

5.匹配项：ACL定义了极其丰富的匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

ACL的分类：

1.基本ACL：主要针对IP报文的源IP进行匹配，基本ACL编号范围时2000-2999，比如创建acl 2001，就是创建的基本ACL。

2.高级ACL:可以根据IP报文中的源IP、目的IP和协议类型，TCP或UDP的源目端口号等元素进行匹配，高级ACL编号范围时3000-3999。基本ACL是高级ACL的一个子集，高级ACL可以比基本 ACL定义出更精确、更复杂、更灵活的规则。

ACL的匹配顺序：

1.自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序， 并按照精确度从高到低的顺序进行报文匹配。

2.配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

ACL的匹配位置：

ACL过滤规则：每个ACL可以包含多个规则，网络设备会根据规则来对数据流量进行过滤。

实验：这里通过配置基本ACL和流量过滤，不允许192.168.1.0的网段访问服务器。

第一在R1上给PC1，PC2和服务器设置好**，抓包测试PC1和服务器能不能正常通信，如图所抓取的ICMP包表示PC1和服务器正常通信。

第二根据要求设置好基本的ACL 2000，规则编号为10的过滤规则，拒绝PC1访问服务器；规则编号为15的过滤规则，允许除PC1以外的其他所有用户访问。

将这一规则应用到路由设备的入口处。测试PC1和服务器之间的通信，发现无**常通信了。说明配置的ACL基本过滤规则生效。

PC2和服务器之间正常通信，说明ACL会根据编号的大小按顺序执行这两条过滤规则。第一执行了rule 10拒绝192.168.1.1访问192.168.3.1;第二才执行了第二条rule 15这一规则允许其他源地址访问服务器。

说明基本ACL过滤规则已经生效。

拓展知识：

前沿拓展：

在学习到ACL这一技术的时候，感觉有些许的难以理解。特别是复杂一点的拓扑，难以分辨入口和出口。但是通过听课后，看到老师用动画演示来让我们去清晰地分辨，设置禁止或允许进入路由器的流量就是入口，反之则是出口。基本的ACL配置起来要比高级ACL简单许多，这篇学习笔记是我通过基本的ACL实验整理的。

ACL的基本概念：

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL是由一系列permit或deny语句组成的、有序规则的列表；它通过匹配报文的相关字段实现对报文的分类。ACL是一个匹配工具，是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；还能够对报文进行匹配和区分。

ACL的组成：

1.编号：配置ACL时，每个人都需要分配一个编号用来标识ACL。

2.规则：一个ACL通常由若干条“permit/deny”语句组成，每条语句就是 该ACL的一条规则。

3.规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

4.动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指 “允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。比如：ACL如果与流量过滤技术结合使用，permit就 是“允许通行”的意思，deny就是“拒绝通行”的意思。

5.匹配项：ACL定义了极其丰富的匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

ACL的分类：

1.基本ACL：主要针对IP报文的源IP进行匹配，基本ACL编号范围时2000-2999，比如创建acl 2001，就是创建的基本ACL。

2.高级ACL:可以根据IP报文中的源IP、目的IP和协议类型，TCP或UDP的源目端口号等元素进行匹配，高级ACL编号范围时3000-3999。基本ACL是高级ACL的一个子集，高级ACL可以比基本 ACL定义出更精确、更复杂、更灵活的规则。

ACL的匹配顺序：

1.自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序， 并按照精确度从高到低的顺序进行报文匹配。

2.配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

ACL的匹配位置：

ACL过滤规则：每个ACL可以包含多个规则，网络设备会根据规则来对数据流量进行过滤。

实验：这里通过配置基本ACL和流量过滤，不允许192.168.1.0的网段访问服务器。

第一在R1上给PC1，PC2和服务器设置好**，抓包测试PC1和服务器能不能正常通信，如图所抓取的ICMP包表示PC1和服务器正常通信。

第二根据要求设置好基本的ACL 2000，规则编号为10的过滤规则，拒绝PC1访问服务器；规则编号为15的过滤规则，允许除PC1以外的其他所有用户访问。

将这一规则应用到路由设备的入口处。测试PC1和服务器之间的通信，发现无**常通信了。说明配置的ACL基本过滤规则生效。

PC2和服务器之间正常通信，说明ACL会根据编号的大小按顺序执行这两条过滤规则。第一执行了rule 10拒绝192.168.1.1访问192.168.3.1;第二才执行了第二条rule 15这一规则允许其他源地址访问服务器。

说明基本ACL过滤规则已经生效。

拓展知识：

前沿拓展：

在学习到ACL这一技术的时候，感觉有些许的难以理解。特别是复杂一点的拓扑，难以分辨入口和出口。但是通过听课后，看到老师用动画演示来让我们去清晰地分辨，设置禁止或允许进入路由器的流量就是入口，反之则是出口。基本的ACL配置起来要比高级ACL简单许多，这篇学习笔记是我通过基本的ACL实验整理的。

ACL的基本概念：

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL是由一系列permit或deny语句组成的、有序规则的列表；它通过匹配报文的相关字段实现对报文的分类。ACL是一个匹配工具，是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；还能够对报文进行匹配和区分。

ACL的组成：

1.编号：配置ACL时，每个人都需要分配一个编号用来标识ACL。

2.规则：一个ACL通常由若干条“permit/deny”语句组成，每条语句就是 该ACL的一条规则。

3.规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

4.动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指 “允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。比如：ACL如果与流量过滤技术结合使用，permit就 是“允许通行”的意思，deny就是“拒绝通行”的意思。

5.匹配项：ACL定义了极其丰富的匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

ACL的分类：

1.基本ACL：主要针对IP报文的源IP进行匹配，基本ACL编号范围时2000-2999，比如创建acl 2001，就是创建的基本ACL。

2.高级ACL:可以根据IP报文中的源IP、目的IP和协议类型，TCP或UDP的源目端口号等元素进行匹配，高级ACL编号范围时3000-3999。基本ACL是高级ACL的一个子集，高级ACL可以比基本 ACL定义出更精确、更复杂、更灵活的规则。

ACL的匹配顺序：

1.自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序， 并按照精确度从高到低的顺序进行报文匹配。

2.配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

ACL的匹配位置：

ACL过滤规则：每个ACL可以包含多个规则，网络设备会根据规则来对数据流量进行过滤。

实验：这里通过配置基本ACL和流量过滤，不允许192.168.1.0的网段访问服务器。

第一在R1上给PC1，PC2和服务器设置好**，抓包测试PC1和服务器能不能正常通信，如图所抓取的ICMP包表示PC1和服务器正常通信。

第二根据要求设置好基本的ACL 2000，规则编号为10的过滤规则，拒绝PC1访问服务器；规则编号为15的过滤规则，允许除PC1以外的其他所有用户访问。

将这一规则应用到路由设备的入口处。测试PC1和服务器之间的通信，发现无**常通信了。说明配置的ACL基本过滤规则生效。

PC2和服务器之间正常通信，说明ACL会根据编号的大小按顺序执行这两条过滤规则。第一执行了rule 10拒绝192.168.1.1访问192.168.3.1;第二才执行了第二条rule 15这一规则允许其他源地址访问服务器。

说明基本ACL过滤规则已经生效。

拓展知识：

前沿拓展：

在学习到ACL这一技术的时候，感觉有些许的难以理解。特别是复杂一点的拓扑，难以分辨入口和出口。但是通过听课后，看到老师用动画演示来让我们去清晰地分辨，设置禁止或允许进入路由器的流量就是入口，反之则是出口。基本的ACL配置起来要比高级ACL简单许多，这篇学习笔记是我通过基本的ACL实验整理的。

ACL的基本概念：

访问控制列表ACL（Access Control List）可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。

ACL是由一系列permit或deny语句组成的、有序规则的列表；它通过匹配报文的相关字段实现对报文的分类。ACL是一个匹配工具，是能够匹配一个IP数据包中的源IP地址、目的IP地址、协议类型、源目的端口等元素的基础性工具；还能够对报文进行匹配和区分。

ACL的组成：

1.编号：配置ACL时，每个人都需要分配一个编号用来标识ACL。

2.规则：一个ACL通常由若干条“permit/deny”语句组成，每条语句就是 该ACL的一条规则。

3.规则编号：每条规则都有一个相应的编号，称为规则编号，用来标识ACL规则。可以自定义，也可以系统自动分配。

4.动作：每条规则中的permit或deny，就是与这条规则相对应的处理动作。permit指 “允许”，deny指“拒绝”，但是ACL一般是结合其他技术使用，不同的场景，处理动作的含义也有所不同。比如：ACL如果与流量过滤技术结合使用，permit就 是“允许通行”的意思，deny就是“拒绝通行”的意思。

5.匹配项：ACL定义了极其丰富的匹配项。例如，二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）、三层报文信息（如目的地址、协议类型）以及四层报文信息（如TCP/UDP端口号）等。

ACL的分类：

1.基本ACL：主要针对IP报文的源IP进行匹配，基本ACL编号范围时2000-2999，比如创建acl 2001，就是创建的基本ACL。

2.高级ACL:可以根据IP报文中的源IP、目的IP和协议类型，TCP或UDP的源目端口号等元素进行匹配，高级ACL编号范围时3000-3999。基本ACL是高级ACL的一个子集，高级ACL可以比基本 ACL定义出更精确、更复杂、更灵活的规则。

ACL的匹配顺序：

1.自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到低进行排序， 并按照精确度从高到低的顺序进行报文匹配。

2.配置顺序，系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。如果后面又添加了一条规则，则这条规则会被加入到相应的位置，报文仍然会按照从小到大的顺序进行匹配。

ACL的匹配位置：

ACL过滤规则：每个ACL可以包含多个规则，网络设备会根据规则来对数据流量进行过滤。

实验：这里通过配置基本ACL和流量过滤，不允许192.168.1.0的网段访问服务器。

第一在R1上给PC1，PC2和服务器设置好**，抓包测试PC1和服务器能不能正常通信，如图所抓取的ICMP包表示PC1和服务器正常通信。

第二根据要求设置好基本的ACL 2000，规则编号为10的过滤规则，拒绝PC1访问服务器；规则编号为15的过滤规则，允许除PC1以外的其他所有用户访问。

将这一规则应用到路由设备的入口处。测试PC1和服务器之间的通信，发现无**常通信了。说明配置的ACL基本过滤规则生效。

PC2和服务器之间正常通信，说明ACL会根据编号的大小按顺序执行这两条过滤规则。第一执行了rule 10拒绝192.168.1.1访问192.168.3.1;第二才执行了第二条rule 15这一规则允许其他源地址访问服务器。

说明基本ACL过滤规则已经生效。

拓展知识：