ACL（访问控制列表）

第六部分，访问控制列表。访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。应用场景有校园网中教师网和学生网分别管理，通过acl控制内网与外网的访问权限等。

网络拓扑图如下：

R1以下部分属于教师网，可以访问外网，R1以上部分为学生网，通过acl列表控制，我们将实现192.168.50.0-192.168.50.127段主机无法访问http服务器（192.168.10.1），主要代码：

access-list 1 deny 192.168.50.0 0.0.0.127

代码：

##基础配置

#r0

en
conf t
int f0/0
ip add 192.168.10.1 255.255.255.0
no shut
int s0/0/0
ip add 192.168.20.1 255.255.255.0
no shut
exit
router ospf 1
network 192.168.10.0 0.0.0.255 area 1
network 192.168.20.0 0.0.0.255 area 1

#r1

en
conf t
int s0/0/1
ip add 192.168.30.1 255.255.255.0
no shut
int s0/1/0
ip add 192.168.40.1 255.255.255.0
no shut
int s0/0/0
ip add 192.168.20.2 255.255.255.0
no shut
exit
router ospf 1
network 192.168.30.0 0.0.0.255 area 1
network 192.168.20.0 0.0.0.255 area 1
network 192.168.40.0 0.0.0.255 area 1

#r2

en
conf t
int f0/0
ip add 192.168.50.1 255.255.255.0
no shut
int s0/0/0
ip add 192.168.30.2 255.255.255.0
no shut
exit
router ospf 1
network 192.168.30.0 0.0.0.255 area 1
network 192.168.50.0 0.0.0.255 area 1

#r3

en
conf t
int f0/0
ip add 192.168.60.1 255.255.255.0
no shut
int s0/0/0
ip add 192.168.40.2 255.255.255.0
no shut
exit
router ospf 1
network 192.168.40.0 0.0.0.255 area 1
network 192.168.60.0 0.0.0.255 area 1

##acl控制列表

#r0

exit
access-list 1 deny 192.168.50.0 0.0.0.127
access-list 1 permit any
int f0/0
ip access-group 1 out

结果检测:

pc0（ip地址192.168.60.1，属于排除范围）不能访问http服务器，其他pc正常访问服务器。

pc0不能访问：

pc1、pc2、pc3正常：