ACL标准协议

1.配置思路
第一步：配置PC
第二步：配置二层交换机，划分vlan
第三步：三层交换机配置SVI（交互虚接口），下联链路是2层，上联链路是3层；
实现不同vlan通信：
路由器====》单臂路由
三层交换机===》交换虚接口
第四步：三层交换机开启路由器功能，解决路由问题
第五步：出口路由器配置IP和路由
2.ACL（Access Control List）访问控制列表：可以基于3层、4层的数据做过滤。
ACL的工作原理（匹配规则）：
按照从上到下依次匹配；
如果有一条一旦匹配完成，就不再进行后续报文的匹配；
隐含的一条是拒绝所有；
ACL中最少要有一条允许的条目，否则没有意义；
3.ACL的分类：标准ACL和扩展ACL
（1）标准访问控制列表
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是1～99
（2）扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100～199
4.标准ACL的配置：
（1）基本格式：
Router(config)#access-list 编号 { permit允许| deny拒绝 } source 通配符掩码
通配符掩码：是用来对Ip地址进行匹配的，用0表示精确匹配（必须匹配），用“1”表示模糊匹配（可以不匹配）
access-list 1 permit 192.168.1.0 0.0.0.255 ====>匹配流量：192.168.1.0/24
access-list 1 permit 192.168.2.2 0.0.0.0 ====>匹配流量是一个主机：192.168.2.2
access-list 1 permit host 192.168.2.2 =====>匹配一个主机的流量
access-list 1 deny 0.0.0.0 255.255.255.255 ====>access-list 1 deny any 拒绝所有流量
access-list 10 permit 192.168.1.1 0.0.0.0 //允许192.168.1.1主机地址（1）
access-list 10 deny 192.168.1.0 0.0.0.255 //拒绝192.168.1.0/24这个网段（2）
access-list 10 permit 172.16.0.0 0.0.255.255 //允许172.16.0.0/16这个网段（3）
access-list 10 deny host 192.168.2.3 //拒绝主机192.168.2.3（4）
access-list 10 permit 10.0.0.0 0.0.0.255 //允许10.0.0.0/24这个网段（5）
access-list 10 deny 192.168.0.0 0.0.255.255 //拒绝192.168.0.0/16这个网段（6）

练习
192.168.1.1/24====》允许===》1
192.168.2.3/24====》拒绝===》4
192.168.2.2/24====》拒绝===》6
192.168.10.10/24===》拒绝===》6
192.168.30.20/24===》拒绝===》6
200.1.1.1/24=======》拒绝===》隐含的一条拒绝所有
101.1.1.1/24=======》拒绝===》隐含的一条拒绝所有
10.5.5.5/24========》拒绝===》隐含的一条拒绝所有
10.3.3.3/16========》拒绝===》隐含的一条拒绝所有
10.6.6.6/8=========》拒绝===》隐含的一条拒绝所有
10.0.0.1/24========》允许===》5
34.1.1.1/24========》拒绝===》隐含的一条拒绝所有
（2）ACL的配置步骤：ACL的书写规则就是让范围小的条目尽量靠前。
第一步：定义ACL
第二步：应用到接口——————尽量应用到入接口。
  特别说明：ACL只有应用到接口，才会生效。
   int  f0/1
   ip   access-group   编号  in/out   
   第三步；检查ACL的匹配情况
   Router#show access-lists     //match表示匹配了该条目
  Standard IP access list 10
  10 permit host 192.168.1.1 (4 match(es))