ACL访问控制列表配置.doc

1、ACL 的使用ACL 的处理过程：1.它是判断语句，只有两种结果，要么是拒绝（deny） ，要么是允许（permit ）2.语句顺序按照由上而下的顺序处理列表中的语句3. 语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1.ACL 能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理-因此先后顺序很重要。如果没有找到匹配，ACL 末尾不可见的隐含拒绝语句将丢弃分组。一个 ACL 应该至少有一条 permit

2、语句；否则所有流量都会丢弃，因为每个 ACL末尾都有隐藏的隐含拒绝语句。2.如果在语句结尾增加 deny any 的话可以看到拒绝记录3.Cisco ACL 有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。示例：编号方式标准的 ACL 使用 1 99 以及 13001999 之间的数字作为表号，扩展的 ACL 使用 100 199 以及 20002699 之间的数字作为表号一、标准（标准 ACL 可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如 IP）的所有通信流量。 ）允许 172.17.31

3、.222 通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号） （1-99 、1300-1999） permit host 172.17.31.222禁止 172.17.31.222 通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许 172.17.31.0/24 通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0

4、0.0.0.254（反码 255.255.255.255 减去子网掩码，如 172.17.31.0/24 的 255.255.255.255255.255.255.0=0.0.0.255）禁止 172.17.31.0/24 通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展 ACL 比标准 ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的 Web 通信流量通过，拒绝外来的 FTP 和 T

5、elnet 等通信流量” ，那么，他可以使用扩展 ACL 来达到目的，标准 ACL 不能控制这么精确。 ）允许 172.17.31.222 访问任何主机 80 端口，其他主机禁止Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源） any（目标） eq www允许所有主机访问 172.17.31.222 主机 telnet（23 ）端口其他禁止Cisco-3750(config)#access-list 100（100-199 、2000-2699） permit tcp any host 172.17.31.2

6、22 eq 23接口应用（入方向） （所有 ACL 只有应用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group 1 in（出方向 out）命名方式一、 标准建立标准 ACL 命名为 test、允许 172.17.31.222 通过，禁止 172.17.31.223 通过，其他主机禁止Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 172.17.31.222Cisco-3

7、750(config-std-nacl)#deny host 172.17.31.223建立标准 ACL 命名为 test、禁止 172.17.31.223 通过，允许其他所有主机。Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#deny host 172.17.31.223Cisco-3750(config-std-nacl)#permit any二、扩展建立扩展 ACL 命名为 test1，允许 172.17.31.222 访问所有主机 80 端口，其他所有主机禁止Cisco-3750(c

8、onfig)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www建立扩展 ACL 命名为 test1，禁止所有主机访问 172.17.31.222 主机 telnet（23 ）端口，但允许访问其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23Cisco-3750(conf

9、ig-ext-nacl)#permit tcp any any接口应用（入方向） （所有 ACL 只有应用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group test in（出方向 out）接口应用原则标准 ACL，的应用靠近目标地址扩展 ACL，的应用靠近源地址网上资料：Cisco ACL 原理及配置详解什么是 ACL?访问控制列表简称为 ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而

10、达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供 ACL 的支持了。访问控制列表使用原则由于 ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部 ACL 的配置。在介绍例子前为大家将 ACL 设置原则罗列出来，方便各位读者更好的消化 ACL 知识。 、1.访问控制列表的列表号指出了是那种协议的访问控制列表，各种协议有自己的访问控制列表，而每个协议的访问控制列表又分为标准访问控制列表和扩展访问控制列表，通过访问控制列表的列表号区别。2.访问控制列表的语句顺讯决定了对数据包的控制顺序。3.限制性语句

11、应该放在访问控制列表的首行。把限制性语句放在访问控制列表的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或者接近末行，可以防止出现诸如本该拒绝的数据包却被放过的情况。3.最小特权原则只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。4.新的表项只能被添加到访问控制列表的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只能先删除原有访问控制列表，再重新创建、应用。5.在访问控制列表应用到接口之前，一定要先建立访问控制列表。首先在全局模式下建立访问控制列表，然后把它应用在接口的进口或者

12、出口方向上。在接口上应用一个不存在的访问控制列表是不可能的。6.访问控制列表的语句不肯能被逐条的删除，只能一次性删除整个访问控制列表。7.在访问控制列表的最后有一条隐含的“全部拒绝”的命令，所以在访问控制列表里一定要至少有一条“允许”的语句。8.访问控制列表智能过滤通过路由器的数据包，不能过滤从路由器本身发出的数据包。9.在路由选择进行以前，应用在接口进入方向的访问控制列表起作用。10.在路由选择决定以后，应用在接口离开方向的访问控制列表起作用11.最靠近受控对象原则所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在 ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检

13、测下面的 ACL 语句。12.默认丢弃原则在 CISCO 路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。一标准访问列表：访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL。其中最简单的就是标准访问控制列表

14、，标准访问控制列表是通过使用 IP 包中的源网络、子网或主机的 IP 地址进行过滤，使用的访问控制列表号 1 到 99 来创建相应的 ACL标准访问控制列表只能检查数据包的原地址，使用的局限性大，但是配置简单，是最简单的 ACL。它的具体格式如下：access-list ACL 号 permit|deny host ip 地址例如：access-list 10 deny host 192.168.1.1 这句命令是将所有来自 192.168.1.1 地址的数据包丢弃。当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0

15、.0.255通过上面的配置将来自 192.168.1.0/24 的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是 0.0.0.255 呢?这是因为 CISCO 规定在 ACL 中用反向掩玛表示子网掩码，反向掩码为 0.0.0.255 的代表他的子网掩码为 255.255.255.0。（1 ）通配符 any为表示任何 IP 地址通过，网络管理员输入 0.0.0.0；然后，还要指出访问控制列表将要忽略的任何值，相应的通配符掩码位是“1“（255.255.255.255）.此时，网络管理员可以使用缩写字“any ”代替 0.0.0.0 255.255.255.255例如：Router(c

16、onfig)#access-list 1 permit 0.0.0.0 255.255.255.255等于 Router(config)#access-list 1 permit any（2 ）通配符 host若网络管理员想要与整个 IP 主机地址的所有位相匹配，可以使用缩写字 “host”。在访问控制列表拒绝一个特定的主机地址时，为了表示这个主机 IP 地址，网络管理员要输入全部的地址，相应的通配符掩码全为 0.例如：Router(config)#access-list 1 deny 172.33.160.29 0.0.0.0等于 Router(config)#access-list 1 d

17、eny host 172.33.160.29小提示：对于标准访问控制列表来说，默认的命令是 HOST，也就是说 access-list 10 deny 192.168.1.1 表示的是拒绝 192.168.1.1 这台主机数据包通讯，可以省去我们输入 host命令。标准访问控制列表实例一（只允许某个 IP 地址，否定其它的）我们采用如图所示的网络结构。路由器连接了二个网段，分别为172.16.4.0/24，172.16.3.0/24。在 172.16.4.0/24 网段中有一台服务器提供 WWW 服务，IP地址为 172.16.4.13。实例 1：禁止 172.16.4.0/24 网段中除 1

18、72.16.4.13 这台计算机访问 172.16.3.0/24 的计算机。172.16.4.13 可以正常访问 172.16.3.0/24。路由器配置命令:Router（ config）#access-list 1 permit host 172.16.4.13 /设置 ACL，容许 172.16.4.13 的数据包通过( 定义访问控制列表命令：Router（config）#access-list access-list-number permit|deny test-condition)Router （config）#access-list 1 deny any /设置 ACL，阻止其他一

19、切 IP 地址进行通讯传输。Router （config）#interface e 1 /进入 E1 端口。Router （config）#ip access-group 1 in /将 ACL 1 宣告(访问控制列表应用到某一端口上的命令：Router（config）#ip access-group access-list-number in|out经过设置后 E1 端口就只容许来自 172.16.4.13 这个 IP 地址的数据包传输出去了。来自其他 IP 地址的数据包都无法通过 E1 传输。小提示：由于 CISCO 默认添加了 DENY ANY 的语句在每个 ACL 中，所以上面的 ac

20、cess-list 1 deny any 这句命令可以省略。另外在路由器连接网络不多的情况下也可以在 E0 端口使用 ip access-group 1 out 命令来宣告，宣告结果和上面最后两句命令效果一样。 通常 ACL 被应用在出站接口比应用在入站接口效率要高，因此大多把它应用在出站接口。标准访问控制列表实例二（否定其中一个 IP 地址，其它的都允许访问）配置任务：禁止 172.16.4.13 这个计算机对 172.16.3.0/24 网段的访问，而 172.16.4.0/24中的其他计算机可以正常访问。路由器配置命令：Router（ config）#access-list 1 deny

21、 host 172.16.4.13 /设置 ACL，禁止 172.16.4.13 的数据包通过Router（ config）#access-list 1 permit any /设置 ACL ，容许其他地址的计算机进行通讯Router（ config）#interface e 1 /进入 E1 端口Router（ config）#ip access-group 1 in /将 ACL1 宣告(同理可以进入 E0 端口后使用 ip access-group 1 out 来完成宣告。 )配置完毕后除了 172.16.4.13 其他 IP 地址都可以通过路由器正常通讯，传输数据包。标准访问控制列表实

22、例三（允许一个网络范围内的 IP 地址访问）配置允许源地址为 172.16.0.0/255.255.0.0 子网上的主机登陆路由器Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 /访问控制列表允许 172.16.0.0 网段的主机访问(0.0.255.255 是采用子网掩码的反码)Router(config)#_ /路由器处于全局配置模式配置应用接口：Router(config)#line vty 0 5 /是最大允许 5 个人同时 telnet Router 登陆(vty 是虚拟终端的意思，参见：VTY)Router(co

23、nfig-line)#access-class 1 in / 将条件施加在虚拟终端线路上，配置在路由器的进口处，将 ACL1 宣告(用 access-class 将访问控制列表施加于 VTY 线路，或 WEB 接口，access-group 则施加到接口)在特权模式下，查看访问控制列表配置信息：Router #show configuration!Access-list 1 permit 172.16.0.0 0.0.255.255!line vty 0 5access-class 1 in!标准访问控制列表实例四（允许几个 IP 地址访问）配置只允许源地址为 192.168.2.2 和 19

24、2.168.10.2 的两台主机登陆路由器Router(config)#access-list 10 permit 192.168.2.2 /访问控制列表允许 IP 地址为192.168.2.2 的主机访问Router(config)#access-list 10 permit 192.168.10.2 /访问控制列表允许 IP 地址为192.168.10.2 的主机访问Router(config)#_ access-list 10 deny any /其它主机都不允许访问 配置应用接口：Router(config)#line vty 0 5 /是最大允许 5 个人同时 telnet Rout

25、er 登陆(vty 是虚拟终端的意思，参见：VTY)Router(config-line)#access-class 10 in / 将条件施加在虚拟终端线路上，配置在路由器的进口处，将 ACL10 宣告(用 access-class 将访问控制列表施加于 VTY 线路，或 WEB 接口，access-group 则施加到接口)在特权模式下，查看访问控制列表配置信息：Router #show configuration!Access-list 10 permit 192.168.2.2Access-list 10 permit 192.168.10.2!line vty 0 5access-c

26、lass 10 in!在特权模式下查看访问控制列表：Router #show access-listsStandard IP access list 10Permit 192.168.2.2Permit 202.168.10.2Deny any标准访问控制列表实例五禁止源地址为非法地址的数据包进入路由器或从路由器输出在全局配置模式下：Router(config)#access-list 30 deny 10.0.0.0 0.255.255.255 log /30 号 ACL 不允许10 打头的所有地址访问，并且记录下每次访问的情况）(log 会把每次 10 地址访问的记录下来，用命令可以查看。

27、没有 log，只能在 access-list 里看统计总数。)Router(config)#access-list 30 deny 203.105.1.63 0.0.0.255 /30 号 ACL 不允许203.105.1 打头的所有 IP 访问Router(config)#access-list 30 deny 192.168.0.0 0.0.255.255 / 30 号 ACL 不允许192.168 打头的所有 IP 访问Router(config)#access-list permit deny /ACL 允许其它任何的 IP 访问配置应用接口：Router(config)#interf

28、ace g0/1 /进入吉比特以太网配置模式，端口为 0/1Router(config-if)#access-group 30 in /将 30 号控制列表配置在路由器进口处在特权用户模式下，查看访问控制列表信息：Router#show configuration在特权用户模式下，查看访问控制列表：Router#show access-lists标准访问控制列表实例六删除该访问控制列表中的所有条件判断，然后再重新建立Router(config)#no access-list 30（删除访问控制列表命令：no access-list list-number）总结：标准 ACL 占用路由器资源很少

29、，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。二扩展访问列表：上面我们提到的标准访问控制列表是基于 IP 地址进行过滤的，是最简单的 ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展 IP 访问列表可以有效的容许用户访问物理 LAN 而并不容许他使用某个特定服务( 例如 WWW，FTP 等)。扩展访问控制列表使用的 ACL 号为100 到 199。ACL：限制源地址、目标地址扩展

30、ACL：限制源地址、目标地址、协议、端口号扩展访问控制列表的格式刚刚我们提到了标准访问控制列表，他是基于 IP 地址进行过滤的，是最简单的 ACL。那么如果我们希望将过滤细到端口怎么办呢?或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展 IP 访问列表可以有效的容许用户访问物理LAN 而并不容许他使用某个特定服务( 例如 WWW，FTP 等)。扩展访问控制列表使用的 ACL号为 100 到 199。扩展访问控制列表的格式：扩展访问控制列表是一种高级的 ACL，配置命令的具体格式如下：(1)定义扩展访问控制列表access-list ACL 号 permit|de

31、ny 协议 定义过滤源主机范围 定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口access-list access-list-number permit|deny protocol source wildcard-mask destination wildcard-mask operatoroperandoperator(操作)有 It（小于） 、 gt（等于） 、eq（等于） 、neq（不等于）几种；operand指的是端口号。例如：access-list 101 deny tcp any host 192.168.1.1 eq www 这句命令是将所有主机访问192.168.1.1

32、 这个地址网页服务(WWW)TCP 连接的数据包丢弃。（2 ）应用到接口Ip access-group access-list-number in|out注意：如果 in 和 out 都没有指定，那么默认地认为是 out。小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义 IP 地址后的子网掩码。扩展访问控制列表实例一(拒绝转发符合协议和端口号条件的 IP 地址 )拒绝转发所有 IP 地址进出的端口号为 1433 的 UDP 协议数据包在全局配置模式下：Router(config)#access-list 130 deny udp any

33、 eq 1433 /创建 130 号 ACL，拒绝转发所有进出 1433 端口 UDP 包的 IP 地址Router(config)#access-list 130 permit ip any any /允许其它任何 IP 地址访问服务器Router(config)#_ /路由器正处于全局配置模式配置应用接口：Router(config)#interface g0/1 / 进入吉比特以太网配置模式，端口为 0/1Router(config-if)#ip access-group 130 in / 将设置好条件的 130 号 ACL 配置在路由器进口Router(config-if)#ip ac

34、cess-group 130 out /将设置好条件的 130 号 ACL 配置在路由器出口Router(config-if)#_ /路由器正处于端口配置模式特权用户模式下，查看访问控制列表：Router #show access-listsExtended IP access list 130Deny udp any any eq 1433Permit ip any any扩展访问控制列表实例二禁封一台主机：在全局模式下：Router（config）#access-list 112 deny ip host 212.102.60.230 any log /ACL 不允许IP 地址为 212.

35、102.60.230 的主机访问服务器，提供任何（0.0.0.0 255.255.255.255）IP 地址访问记录(以上命令的 host 212.102.60.230，等价于 212.102.60.230 0.0.0.0 后面的 0.0.0.0表示 ACL 要的条件要与 IP 地址 212.102.60.230 中的每一位匹配，才能拒绝，很明显，换句话说 ACL 要拒绝的就是 IP 地址为 212.102.60.230 的主机)Router（config）#access-list 112 deny ip any host 212.102.60.230 log /允许任何 IP 地址 but

36、212.102.60.230Router（config）#access-list permit any any /允许任何其它 IP 地址访问Router(config)#interface g0/1 / 进入吉比特以太网配置模式，端口为 0/1Router(config-if)#ip access-group 122 in / 将设置好条件的 122 号 ACL 配置在路由器进口Router(config-if)#ip access-group 122 out /将设置好条件的 122 号 ACL 配置在路由器出口Router(config-if)#_ /路由器正处于端口配置模式特权用户模式

37、下，查看访问控制列表：Router #show access-listsExtended IP access list 122deny ip host 212.102.60.230 anydeny ip any host 212.102.60.230Permit ip any any扩展访问控制列表实例采用如图所示的网络结构。路由器连接了二个网段，分别为172.16.4.0/24,172.16.3.0/24。在 172.16.4.0/24 网段中有一台服务器提供 WWW 服务，IP 地址为 172.16.4.13。配置任务：禁止 172.16.3.0 的计算机访问 172.16.4.0 的计算

38、机，包括那台服务器，不过惟独可以访问 172.16.4.13 上的 WWW 服务，而其他服务不能访问。路由器配置命令：(应用到接口 )access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置 ACL101，容许源地址为任意 IP，目的地址为 172.16.4.13 主机的 80 端口即 WWW 服务。由于 CISCO 默认添加 DENY ANY 的命令，所以 ACL 只写此一句即可。int e 1 进入 E1 端口ip access-group 101 out 将 ACL101 宣告出去设置完毕后 172.16.3.0 的计算机就

39、无法访问 172.16.4.0 的计算机了，就算是服务器172.16.4.13 开启了 FTP 服务也无法访问，惟独可以访问的就是 172.16.4.13 的 WWW 服务了。而 172.16.4.0 的计算机访问 172.16.3.0 的计算机没有任何问题。扩展 ACL 有一个最大的好处就是可以保护服务器，例如很多服务器为了更好的提供服务都是暴露在公网上的，这时为了保证服务正常提供所有端口都对外界开放，很容易招来黑客和病毒的攻击，通过扩展 ACL 可以将除了服务端口以外的其他端口都封锁掉，降低了被攻击的机率。如本例就是仅仅将 80 端口对外界开放。总结：扩展 ACL 功能很强大，他可以控制源

40、 IP，目的 IP，源端口，目的端口等，能实现相当精细的控制，扩展 ACL 不仅读取 IP 包头的源地址/ 目的地址，还要读取第四层包头中的源端口和目的端口的 IP。不过他存在一个缺点，那就是在没有硬件 ACL 加速的情况下，扩展 ACL 会消耗大量的路由器 CPU 资源。所以当使用中低档路由器时应尽量减少扩展 ACL的条目数，将其简化为标准 ACL 或将多条扩展 ACL 合一是最有效的方法。基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好 ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部 ACL 信息都删除。也就是说修改一条或删

41、除一条都会影响到整个 ACL 列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。一、基于名称的访问控制列表的格式：ip access-list standard|extended ACL 名称例如：ip access-list standard softer 就建立了一个名为 softer 的标准访问控制列表。二、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个 ACL 中进行配置了。例如我们添加三条 ACL 规则permit 1.1.1.1 0.0.0.0permit 2.2.2.2 0.0.0.0permit 3.3.3.3 0.0.0.0如果我们发现第二条命令应该是 2.2.2.1 而不是 2.2.2.2，如果使用不是基于名称的访问控制列表的话，使用 no permit 2.2.2.2 0.0.0.0 后整个 ACL 信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用 no permit 2.2.2.2 0.0.0.0 后第一条和第三条指令依然存在。总结：如果设置 ACL 的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整 ACL 规则。