本文實例講述了思科ACL訪問控制列表常規(guī)配置操作。分享給大家供大家參考，具體如下：

一、ACL概述

ACL (Access Control List,訪問控制列表）是一系列運用到路由器接口的指令列表。這些指令告訴路由器接收哪些數(shù)據(jù)包、拒絕哪些數(shù)據(jù)包，接收或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址、目標(biāo)地址、端口號等。ACL使得用戶能夠管理數(shù)據(jù)流，檢測特定的數(shù)據(jù)包。
　　路由器將根據(jù)ACL中指定的條件，對經(jīng)過路由器端口的數(shù)據(jù)包進(jìn)行檢査。ACL可以基于所有的Routed Protocols (被路由協(xié)議，如IP、IPX等）對經(jīng)過路由器的數(shù)據(jù)包進(jìn)行過濾。ACL在路由器的端口過濾數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)包。ACL應(yīng)該根據(jù)路由器的端口所允許的每個協(xié)議來制定，如果需要控制流經(jīng)某個端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個協(xié)議分別創(chuàng)建ACL。例如，如果端口被配置為允許IP、AppleTalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要創(chuàng)建至少3個ACL, 本文中僅討論IP的訪問控制列表。針對IP協(xié)議，在路由器的每一個端口,可以創(chuàng)建兩個ACL:—個用于過濾進(jìn)入（inbound)端口的數(shù)據(jù)流，另一個用于過濾流出（outboimd)端口的數(shù)據(jù)流。
　　順序執(zhí)行：—個ACL列表中可以包含多個ACL指令，ACL指令的放置順序很重要。當(dāng)路由器在決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)包的時候，Cisco的IOS軟件，按照ACL中指令的順序依次檢査數(shù)據(jù)包是否滿足某一個指令條件。當(dāng)檢測到某個指令條件滿足的時候，就執(zhí)行該指令規(guī)定的動作，并且不會再檢測后面的指令條件。
　　ACL作用：
　　　* 限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。
　　　* 提供數(shù)據(jù)流控制。
　　　* 為網(wǎng)絡(luò)訪問提供基本的安全層。

二、ACL 類型

1. 標(biāo)準(zhǔn)ACL: access-list-number編號1~99之間的整數(shù)，只針對源地址進(jìn)行過濾。
2. 擴展ACL: access-list-number編號100~199之間的整數(shù)，可以同時使用源地址和目標(biāo)地址作為過濾條件，還可以針對不同的協(xié)議、協(xié)議的特征、端口號、時間范圍等過濾。可以更加細(xì)微的控制通信量。
3. 動態(tài)ACL
4. 自反ACL
5. 基于時間的ACL

三、標(biāo)準(zhǔn)ACL

 3.1 通配符掩碼

使用通配符掩碼與源或目標(biāo)地址一起分辨匹配的地址范圍。
掩碼位匹配含義：設(shè)置為“1”表示忽略IP地址中對應(yīng)位（IP取0或1都可以匹配）；設(shè)置為“0”表示IP地址中對應(yīng)位必須精確匹配。
例如：（1）192.168.1.0 0.0.0.255 匹配的是192.168.1.0~192.168.1.255
　　?。?）192.168.1.0 0.0.0.254 匹配192.168.1.0網(wǎng)段中所有偶數(shù)IP
　　　（3）192.168.1.1 0.0.0.254 匹配192.168.1.0網(wǎng)段中所有奇數(shù)IP
any關(guān)鍵字： 代替地址掩碼對0.0.0.0 255.255.255.255，匹配任何IP
host關(guān)鍵字： 代替通配符掩碼0.0.0.0，精確匹配某個IP。例如：要實現(xiàn)匹配IP地址192.168.1.2，則可以寫成192.168.1.2 0.0.0.0或者寫成host 192.168.1.2。（注：標(biāo)準(zhǔn)ACL中沒有通配符掩碼默認(rèn)該掩碼為 0.0.0.0，host也可以省略；擴展ACL中通配符 0.0.0.0或 host關(guān)鍵字不可以省略）

 3.2 配置標(biāo)準(zhǔn)ACL的方法

  3.2.1 配置步驟

配置標(biāo)準(zhǔn)ACL需要兩步，一是創(chuàng)建訪問控制列表，二是將列表綁定到特定端口。

  Step 1 創(chuàng)建ACL

全局模式下配置ACL。
創(chuàng)建標(biāo)準(zhǔn)ACL的基本格式： access-list access-list-number { deny | permit } { 源地址 [ 源地址通配符掩碼 ] | any } [ log ]
其中，access-list-number是1~99的ACL編號；deny拒絕，permit允許；log是日志選項，匹配的條目信息顯示在控制臺上，也可以輸出到日志服務(wù)器。
例如：在某路由器R3上創(chuàng)建一組ACL配置如下：
 

　　R3 (config) #access-list 1 deny 12.1.1.1 　　　拒絕R1的IP地址12.1.1.1，通配符掩碼 0.0.0.0 可以省略。
　　R3 (config) #access-list 1 permit any　　　　　允許其余所有IP

注意：訪問控制列表最后隱含一條deny any 規(guī)則；ACL從上往下匹配，規(guī)則順序不能改變。

  Step 2 應(yīng)用ACL

創(chuàng)建好列表后，要將ACL綁定到每個它想應(yīng)用的接口才能實現(xiàn)訪問控制功能。
例如：將上述列表應(yīng)用到R3的S1/0接口，配置為：
 

　　R3 (config) #interface s1/0　　　　
　　R3 (config-if) #ip access-group 1 in　　在接口下調(diào)用ACL 1，針對的是從s1/0接口進(jìn)入路由器R3的流量

 3.2.2 編輯修改標(biāo)準(zhǔn)ACL

  1）刪除ACL

刪除編號即可刪除ACL。
命令格式：

R3 (config) #no access-list 1

  2）取消ACL在接口的應(yīng)用

命令格式：

R3 (config) #int s1/0
R3 (config-if) #no ip access-group 1 in

  3）編輯ACL

標(biāo)準(zhǔn)ACL不支持插入或刪除一行操作，可以將現(xiàn)有ACL拷貝到記事本里修改，然后粘貼到路由器的命令行中。

  4）查看ACL

命令格式：

R3#show access-lists
R3#show access-lists 1

 3.3 配置標(biāo)準(zhǔn)命名ACL的方法

標(biāo)準(zhǔn)命名ACL指使用字符串代替數(shù)字來標(biāo)識ACL。其優(yōu)點包括：

• 可以在不刪除整個ACL情況下修改。
• 字符串直觀標(biāo)識ACL用途。
• 可以配置超過99個標(biāo)準(zhǔn)ACL。
  注意：命名不能相同。
  創(chuàng)建標(biāo)準(zhǔn)命名ACL格式：Router (config)# ip access-list standard access-list name
   例如：
   

     R3 (config)# ip access-list standard deny-R1
     R3 (config-std-nac1)#deny 12.1.1.1
     R3 (config-std-nac1)#permit any
     R3 (config-std-nac1)#exit
     R3 (config)#int s1/0
     R3 (config-if)#ip access-group deny-R1 in 

可局部修改：

1）刪除某一句：
 

R3 (config)# ip access-list standard deny-R1
R3 (config-std-nac1)#no deny 12.1.1.1

2）使用行號刪除某一句：
 

R3 (config)# ip access-list standard deny-R1
R3 (config-std-nac1)#no 20 　　　　　　　　　　刪除第20行內(nèi)容

3）刪除整個ACL：
 

R3 (config)#no ip access-list standard deny-R1

 3.4 標(biāo)準(zhǔn)ACL放置的位置

• ACL僅對穿越路由器的數(shù)據(jù)包進(jìn)行過濾，對本路由器起源的數(shù)據(jù)包不做過濾（詳細(xì)案例見《CCNA學(xué)習(xí)與實驗指南》崔北亮著，訪問控制列表一章）
• 盡量應(yīng)用在靠近目標(biāo)端。

四、擴展ACL

 4.1 配置擴展ACL

  Step 1 創(chuàng)建擴展ACL

基本格式：access-list access-list-number {deny | permit | remark} 協(xié)議類型 source [source-wildcard] [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]
實例：配置實現(xiàn)拒絕R1去往R3的Telent通信，允許其他服務(wù)。

 

R2 (config) # access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq Telent
R2 (config) # access-list 100 permit ip any any

解釋：Telent流量使用的是TCP協(xié)議，目標(biāo)端口23
因此此處拒絕TCP協(xié)議，源地址是R1，源端口任意；目標(biāo)地址R3，目標(biāo)端口23（配置語句中Telent表示23）。

  Step 2 應(yīng)用ACL

將列表應(yīng)用于R2的S1/0接口，當(dāng)數(shù)據(jù)包進(jìn)入R2的時候判斷，配置為：
 

R2 (config) # int s1/0
R2 (config) # ip access-group 100 in

 4.2 配置擴展命名ACL

類似于標(biāo)準(zhǔn)命名ACL:
 

ip access-list extended tcp-firewall

 4.3 擴展ACL放置的位置

盡量應(yīng)用在靠近源端，這樣可以使一些非法流量盡早丟棄，節(jié)省中間設(shè)備帶寬和CPU資源。

五、反射ACL

 5.1 概念

提供真正意義上的單向訪問控制。

 5.2 應(yīng)用

六、動態(tài)ACL

可以根據(jù)用戶驗證過程創(chuàng)建特定的臨時的ACL。

七、基于時間的ACL

最新評論