Cisco訪問(wèn)控制列表ACL運(yùn)行簡(jiǎn)介

1、 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-1 訪問(wèn)控制列表訪問(wèn)控制列表 acl 運(yùn)行簡(jiǎn)介 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-2 為什么要使用為什么要使用 acl？ 過(guò)濾：通過(guò)過(guò)濾經(jīng)過(guò)路由器的數(shù)據(jù)包來(lái)管理 ip 流量 分類：標(biāo)識(shí)流量以進(jìn)行特殊處理 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-3 acl 的應(yīng)用：過(guò)濾的應(yīng)用：過(guò)濾 允許或拒絕經(jīng)過(guò)路由器的數(shù)據(jù)包。 允許或拒絕來(lái)自路由器或到路由器的 vty 訪問(wèn)。 如果沒(méi)有 acl，所有數(shù)據(jù)包會(huì)發(fā)往網(wǎng)絡(luò)的所有

2、部分。 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-4 根據(jù)數(shù)據(jù)包測(cè)試情況對(duì)流量進(jìn)行特殊處理 acl 的應(yīng)用：分類的應(yīng)用：分類 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-5 出站出站 acl 運(yùn)行運(yùn)行 如果沒(méi)有 acl 語(yǔ)句匹配，則丟棄數(shù)據(jù)包。 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-6 測(cè)試步驟：拒絕或允許測(cè)試步驟：拒絕或允許 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-7 acl 的類型的類型 標(biāo)準(zhǔn) acl 檢

3、查源地址 通常允許或拒絕整個(gè)協(xié)議簇 擴(kuò)展 acl 檢查源地址和目的地址 通常允許或拒絕特定協(xié)議和應(yīng)用程序 有兩種用于標(biāo)識(shí) 標(biāo)準(zhǔn) acl 和擴(kuò)展 acl 的方法： 編號(hào) acl 使用編號(hào)進(jìn)行標(biāo)識(shí) 命名 acl 使用描述性名稱或編號(hào)進(jìn)行標(biāo)識(shí) 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-8 如何標(biāo)識(shí)如何標(biāo)識(shí) acl 標(biāo)準(zhǔn)編號(hào) ipv4 列表 (1-99) 可測(cè)試源地址的所有 ip 數(shù)據(jù)包的條件。擴(kuò)展范圍是 (1300-1999)。 擴(kuò)展編號(hào) ipv4 列表 (100-199) 可測(cè)試源地址和目的地址、 特定 tcp/ip 協(xié)議和目的端口的 條件。擴(kuò)展范圍是

4、 (2000-2699)。 命名 acl 用字母數(shù)字字符串（名稱）標(biāo)識(shí) ip 標(biāo)準(zhǔn) acl 和擴(kuò)展 acl。 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-9 ip 訪問(wèn)列表?xiàng)l目序列編號(hào)訪問(wèn)列表?xiàng)l目序列編號(hào) 需要 cisco ios 12.3 版 允許使用序列編號(hào)來(lái)編輯 acl 語(yǔ)句的順序 在 cisco ios 12.3 版之前，使用文本編輯器來(lái)創(chuàng)建 acl 語(yǔ)句，然 后將語(yǔ)句以正確的順序復(fù)制到路由器中。 允許使用序列號(hào)從列表中刪除單條 acl 語(yǔ)句 在 cisco ios 12.3 版之前的軟件中使用命名 acl 時(shí)，必須使用 no deny |

5、permit protocol source source-wildcard destination destination-wildcard 來(lái)刪除單條語(yǔ)句。 在 cisco ios 12.3 版之前的軟件中使用編號(hào) acl 時(shí)，必須刪除整 個(gè) acl 才能刪除單條 acl 語(yǔ)句。 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-10 acl 配置的指導(dǎo)原則配置的指導(dǎo)原則 標(biāo)準(zhǔn)或擴(kuò)展代表可過(guò)濾的內(nèi)容。 每個(gè)接口、協(xié)議、方向只允許有一個(gè) acl。 acl 語(yǔ)句的順序控制著測(cè)試，因此最具體的語(yǔ)句位于列表頂部。 最后的 acl 測(cè)試始終是隱式拒絕其它所有語(yǔ)句

6、，因此每個(gè)列表需要至少 一條 permit 語(yǔ)句。 在全局范圍內(nèi)創(chuàng)建 acl，然后將其應(yīng)用到入站流量或出站流量的接口。 acl 可過(guò)濾經(jīng)過(guò)路由器的流量或往返路由器的流量，具體取決于其應(yīng)用 方式。 將 acl 置于網(wǎng)絡(luò)中時(shí)： 擴(kuò)展 acl 應(yīng)靠近源地址 標(biāo)準(zhǔn) acl 應(yīng)靠近目的地址 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-11 動(dòng)態(tài)動(dòng)態(tài) acl 動(dòng)態(tài) acl（鎖和鑰匙）：想要穿越路由器的用戶需要使用 telnet 來(lái)連 接路由器并通過(guò)身份驗(yàn)證，否則將會(huì)被攔截。 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-

7、12 自反自反 acl 自反 acl：用于允許出站流量并限制入站流量，以響應(yīng)來(lái)自路由器 內(nèi)部的會(huì)話 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-13 基于時(shí)間的基于時(shí)間的 acl 基于時(shí)間的 acl：允許根據(jù)天數(shù)和 周數(shù)控制訪問(wèn) 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-14 通配符位：如何檢查對(duì)應(yīng)的地址位通配符位：如何檢查對(duì)應(yīng)的地址位 0 表示匹配對(duì)應(yīng)地址位的值 1 表示忽略對(duì)應(yīng)地址位的值 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-15 匹配 ip 子網(wǎng) 1

8、72.30.16.0/24 至 172.30.31.0/24。 用通配符位匹配用通配符位匹配 ip 子網(wǎng)子網(wǎng) 地址和通配符掩碼： 172.30.16.0 0.0.15.255 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-16 172.30.16.29 0.0.0.0 匹配 所有地址位 使用前面有關(guān)鍵字 host 的 ip 地址 (host 172.30.16.29) 來(lái)縮寫(xiě)此通配符掩碼 通配符位掩碼的縮寫(xiě)通配符位掩碼的縮寫(xiě) 0.0.0.0 255.255.255.255 忽略所有地址位 用關(guān)鍵字 any 縮寫(xiě)表達(dá)式 2008 cisco systems, inc. 保留所有權(quán)利。icnd2 v1.06-17 總結(jié)總結(jié) acl 可用于 ip 數(shù)據(jù)包過(guò)濾或標(biāo)識(shí)流量以將其分配給特殊處理。 acl 執(zhí)行自上而下的過(guò)程，并可針對(duì)入站或出站流量進(jìn)行配置。 可使用命名 acl 或編號(hào) acl 來(lái)創(chuàng)建 acl。命名 acl 或編號(hào) acl 可配置為標(biāo)準(zhǔn) acl 或擴(kuò)展 acl，以