路由器——访问控制列表

前言：

配置路由器全网互通后，更高级一点希望网络中的资源不被非法使用和访问。
出现了访问控制，访问控制是网络安全防范和保护的主要策略，
主要任务是保证网络资源不被非法使用和访问
它是保证网络安全最重要的核心策略之一
访问控制涉及的技术：包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

---

访问控制列表是其中重要的内容！根据列表来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。

访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。
访问控制列表好处：
控制网络流量、流向的作用
很大程度上起到保护网络设备、服务器的关键作用。
作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

---

了解访问控制列表

进入到R2

R2#(config) access-list <1~99>访问列表名字（标准） <100~199>extended(扩展的，防止不够用）
R2#(config) access-list 10 ：现在有一个访问控制列表10　　控制列表中有3类信息（deny 拒绝 permit允许 remark注释）

在每一个控制列表下，通过这3类控制信息来决定列表内容的作用
举例——remark

R2#(config) access-list 10 　
remark deny to 4.4.4.4 traffic :注释掉deny to　4.4.4.4 traffic 这句话，这句话本身是指拒绝到4.4.4.4的穿越流量
sho ip access-list 10 　　　:查看控制列表10的信息

举例——deny

R2#(config) access-list 10
deny(　可以跟3中信息A.B.C.D网段　/　any所有　／　host一个点 host 1.1.1.1）

---

访问控制列表的7个特点和解释

1）对数据流进行匹配
2）应用于接口

ip access-list standard 1 　　
　　　5　 deny host 　1.1.1.1 　　
　　　7 　deny host　1.1.1.2 　/ 　7 　deny 1.1.1.2 　０.０.０.０通过反掩码自动计算出它是一个点
　　　9 　permit any
exit
inf f0/1０
ip access-group | in
1.　这里先建立了一个访问控制列表，定义在f0/0接口的进方向上拒绝1.1.1.1 拒绝1.1.1.2 其余的允许通过
2.　然后，退出访问控制列表的编辑状态
3.　返回到f0/0接口下，将控制列表应用到这个接口的进方向上

如果存在多个接口，则要给每一个接口进行配置！

3）同一个方向只有一个可以应用对于Ｒ２上的每一个接口，上面的图对每一个接口都是不同的方向，下面的图对每一个接口都是同一个方向，但是同一个方向上，如果有多个访问控制列表，只能应用其中的一个！如果同一个方向上运用了多个，到底该以哪一个做为依据，就会乱了！

在下图中，配置这样的命令

(R2#config) ip access-list standard 2
(R2#config) 　　5 　deny 　　1.1.1.1
(R2#config)　　10　deny　　12.1.1.1
(R2#config)　　15　permit 　12.1.1.0 　0.0.0.255
(R2#config)exit
(R2#config)inf f0/1
(R2#config)ip access-group in
在R2的f0/1接口的in方向上配置了拒绝1.1.1.1，拒绝12.1.1.1，允许12.1.1.0 0.0.255
由于R2上没有12.1.1.1，一段时间后会down邻居，导致ping不通（ping是一来一回的机制，虽然在1.1.1.2的out方向不受控制，但在1.1.1.2的in方向受控制，所以以1.1.1.1为源ping3.3.3.3回得来，但去不了，导致ping不通！
4）至少有一条permit行
也就说不能所有的都拒绝，这样不就断了，路由器放在这个位置也就没用了！所以必须保证至少有一条是通的！
R2#(config) access-list 10
10　deny　1.1.1.1 　10为语句序号
20　deny　1.1.1.2 　20为语句序号
30　permit any
【deny any 最后默认】
其中的意思就是在R2上建立访问控制列表，在列表上，第10行拒绝了1.1.1.1，第20行拒绝了1.1.1.2，然后其余的允许通过。默认也是缺省的意思，也就是当访问控制列表什么都没有的话，就拒绝所有！我觉得这样也最安全！
10 　20 　30实际匹配时按照语句序号进行匹配的，他们之间为什么是10个单位一增加，因为如果想在其中添加，这样不就可以直接添加了嘛！避免因为紧挨着顺序使用控制列表，而导致不容易修改列表！

如果想改序列号30　permit any改为25,通过下面的语句

ip access-list standard 1
25 permit any

如果想删除哪一个项

show access-list 10 ：先显示查看目前的列表　
no 25 permit any 　：直接no掉就好了
通常在执行的过程中，一旦匹配成功一条，后面的就不再匹配（就像非诚勿扰里，一旦牵手了以为女嘉宾，你就不能再牵手其他女嘉宾了）

5）语句序号匹配，一旦匹配，其余不匹配
6）应用于穿越流量，不应用于发起流量
也就是访问控制列表只对通过它的流向起作用，如果流量是它发出的，即便访问控制列表里有这个东西，也不能阻碍流量穿过！
7）应用与目的最近的设备最好
就像治病，找到病根对症下药比盲目地为各个部位都治疗效果好，应用于最近的设备，所能发挥的效果也最好，速度快，也不会影响周边的通信。