ACL訪問(wèn)控制列表配置

1、ACL的使用ACL的處理過(guò)程：1.它是判斷語(yǔ)句，只有兩種結(jié)果，要么是拒絕（deny），要么是允許（permit）2.語(yǔ)句順序按照由上而下的順序處理列表中的語(yǔ)句3. 語(yǔ)句排序處理時(shí)，不匹配規(guī)則就一直向下查找，一旦某條語(yǔ)句匹配，后續(xù)語(yǔ)句不再處理。4.隱含拒絕如果所有語(yǔ)句執(zhí)行完畢沒(méi)有匹配條目默認(rèn)丟棄數(shù)據(jù)包，在控制列表的末尾有一條默認(rèn)拒絕所有的語(yǔ)句，是隱藏的（deny）要點(diǎn)：1.ACL能執(zhí)行兩個(gè)操作：允許或拒絕。語(yǔ)句自上而下執(zhí)行。一旦發(fā)現(xiàn)匹配，后續(xù)語(yǔ)句就不再進(jìn)行處理-因此先后順序很重要。如果沒(méi)有找到匹配，ACL末尾不可見(jiàn)的隱含拒絕語(yǔ)句將丟棄分組。一個(gè)ACL應(yīng)該至少有一條permit語(yǔ)句；否則所有流量都

2、會(huì)丟棄，因?yàn)槊總€(gè)ACL末尾都有隱藏的隱含拒絕語(yǔ)句。2.如果在語(yǔ)句結(jié)尾增加 deny any的話可以看到拒絕記錄3.Cisco ACL有兩種類型一種是標(biāo)準(zhǔn)另一種是擴(kuò)展，使用方式習(xí)慣不同也有兩種方式一種是編號(hào)方式，另一種是命名方式。示例：編號(hào)方式標(biāo)準(zhǔn)的ACL使用 1 99 以及13001999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用 100 199以及20002699之間的數(shù)字作為表號(hào)一、標(biāo)準(zhǔn)（標(biāo)準(zhǔn)ACL可以阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。）允許22通過(guò)，其他主機(jī)禁止Cisco-3750(con

3、fig)#access-list 1（策略編號(hào)）（1-99、1300-1999） permit host 22禁止22通過(guò),其他主機(jī)允許Cisco-3750(config)#access-list 1 deny host 22Cisco-3750(config)#access-list 1 permit any允許/24通過(guò),其他主機(jī)禁止Cisco-3750(config)#access-list 1 permit 54（反碼55減去子網(wǎng)掩碼，

4、如/24的55=55）禁止/24通過(guò),其他主機(jī)允許Cisco-3750(config)#access-list 1 deny 54Cisco-3750(config)#access-list 1 permit any二、擴(kuò)展（擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來(lái)的Web通信流量通過(guò)，拒絕外來(lái)的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來(lái)達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。）允許17

5、22訪問(wèn)任何主機(jī)80端口，其他主機(jī)禁止Cisco-3750(config)#access-list 100 permit tcp host 22（源） any（目標(biāo)） eq www允許所有主機(jī)訪問(wèn)22主機(jī)telnet（23）端口其他禁止Cisco-3750(config)#access-list 100（100-199、2000-2699） permit tcp any host 22 eq 23接口應(yīng)用（入方向）（所有ACL只有應(yīng)用到接口上才能起作用）Cisco-3750(config)#int g1/0/1

6、Cisco-3750(config-if)#ip access-group 1 in（出方向out）命名方式一、 標(biāo)準(zhǔn)建立標(biāo)準(zhǔn)ACL命名為test、允許22通過(guò)，禁止23通過(guò)，其他主機(jī)禁止Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 22Cisco-3750(config-std-nacl)#deny host 23建立標(biāo)準(zhǔn)ACL命名為test、禁止23通過(guò)，

7、允許其他所有主機(jī)。Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#deny host 23Cisco-3750(config-std-nacl)#permit any二、擴(kuò)展建立擴(kuò)展ACL命名為test1，允許22訪問(wèn)所有主機(jī)80端口，其他所有主機(jī)禁止Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31

8、.222 any eq www建立擴(kuò)展ACL命名為test1，禁止所有主機(jī)訪問(wèn)22主機(jī)telnet（23）端口，但允許訪問(wèn)其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 22 eq 23Cisco-3750(config-ext-nacl)#permit tcp any any接口應(yīng)用（入方向）（所有ACL只有應(yīng)用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3

9、750(config-if)#ip access-group test in（出方向out）接口應(yīng)用原則標(biāo)準(zhǔn)ACL，的應(yīng)用靠近目標(biāo)地址擴(kuò)展ACL，的應(yīng)用靠近源地址網(wǎng)上資料：Cisco ACL原理及配置詳解什么是ACL?訪問(wèn)控制列表簡(jiǎn)稱為ACL，訪問(wèn)控制列表使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。該技術(shù)初期僅在路由器上支持，近些年來(lái)已經(jīng)擴(kuò)展到三層交換機(jī)，部分最新的二層交換機(jī)也開始提供ACL的支持了。訪問(wèn)控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過(guò)一

10、個(gè)小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設(shè)置原則羅列出來(lái)，方便各位讀者更好的消化ACL知識(shí)。、1.訪問(wèn)控制列表的列表號(hào)指出了是那種協(xié)議的訪問(wèn)控制列表，各種協(xié)議有自己的訪問(wèn)控制列表，而每個(gè)協(xié)議的訪問(wèn)控制列表又分為標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表，通過(guò)訪問(wèn)控制列表的列表號(hào)區(qū)別。2.訪問(wèn)控制列表的語(yǔ)句順訊決定了對(duì)數(shù)據(jù)包的控制順序。3.限制性語(yǔ)句應(yīng)該放在訪問(wèn)控制列表的首行。把限制性語(yǔ)句放在訪問(wèn)控制列表的首行或者語(yǔ)句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語(yǔ)句放在末行或者接近末行，可以防止出現(xiàn)諸如本該拒絕的數(shù)據(jù)包卻被放過(guò)的情況。3.最小特權(quán)原則只給受控對(duì)象完成

11、任務(wù)所必須的最小的權(quán)限。也就是說(shuō)被控制的總規(guī)則是各個(gè)規(guī)則的交集，只滿足部分條件的是不容許通過(guò)規(guī)則的。4.新的表項(xiàng)只能被添加到訪問(wèn)控制列表的末尾，這意味著不可能改變已有訪問(wèn)控制列表的功能。如果必須改變，只能先刪除原有訪問(wèn)控制列表，再重新創(chuàng)建、應(yīng)用。5.在訪問(wèn)控制列表應(yīng)用到接口之前，一定要先建立訪問(wèn)控制列表。首先在全局模式下建立訪問(wèn)控制列表，然后把它應(yīng)用在接口的進(jìn)口或者出口方向上。在接口上應(yīng)用一個(gè)不存在的訪問(wèn)控制列表是不可能的。6.訪問(wèn)控制列表的語(yǔ)句不肯能被逐條的刪除，只能一次性刪除整個(gè)訪問(wèn)控制列表。7.在訪問(wèn)控制列表的最后有一條隱含的“全部拒絕”的命令，所以在訪問(wèn)控制列表里一定要至少有一條“允許

12、”的語(yǔ)句。8.訪問(wèn)控制列表智能過(guò)濾通過(guò)路由器的數(shù)據(jù)包，不能過(guò)濾從路由器本身發(fā)出的數(shù)據(jù)包。9.在路由選擇進(jìn)行以前，應(yīng)用在接口進(jìn)入方向的訪問(wèn)控制列表起作用。10.在路由選擇決定以后，應(yīng)用在接口離開方向的訪問(wèn)控制列表起作用11.最靠近受控對(duì)象原則所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。也就是說(shuō)在檢查規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句。12.默認(rèn)丟棄原則在CISCO路由交換設(shè)備中默認(rèn)最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點(diǎn)要特別注意，雖然我們可以修改這個(gè)默認(rèn)，但未改前一定要引起重視。由于ACL是使用

13、包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到端到端的權(quán)限控制目的，需要和系統(tǒng)級(jí)及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。一標(biāo)準(zhǔn)訪問(wèn)列表：訪問(wèn)控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類的ACL。其中最簡(jiǎn)單的就是標(biāo)準(zhǔn)訪問(wèn)控制列表，標(biāo)準(zhǔn)訪問(wèn)控制列表是通過(guò)使用IP包中的源網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址進(jìn)行過(guò)濾，使用的訪問(wèn)控制列表號(hào)1到99來(lái)創(chuàng)建相應(yīng)的ACL標(biāo)準(zhǔn)訪問(wèn)控制列表只能檢查數(shù)據(jù)包的原地址，使用的局限性大，但是配置簡(jiǎn)單，是最簡(jiǎn)單的ACL。它的具體格式如下：access-list ACL號(hào)

14、 permit|deny host ip地址例如：access-list 10 deny host 這句命令是將所有來(lái)自地址的數(shù)據(jù)包丟棄。當(dāng)然我們也可以用網(wǎng)段來(lái)表示，對(duì)某個(gè)網(wǎng)段進(jìn)行過(guò)濾。命令如下：access-list 10 deny 55通過(guò)上面的配置將來(lái)自/24的所有計(jì)算機(jī)數(shù)據(jù)包進(jìn)行過(guò)濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是55呢?這是因?yàn)镃ISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為55的代表他的子網(wǎng)掩碼為。（1）通配符 a

15、ny為表示任何IP地址通過(guò)，網(wǎng)絡(luò)管理員輸入；然后，還要指出訪問(wèn)控制列表將要忽略的任何值，相應(yīng)的通配符掩碼位是“1“（55）.此時(shí)，網(wǎng)絡(luò)管理員可以使用縮寫字“any”代替 55例如：Router(config)#access-list 1 permit 55等于Router(config)#access-list 1 permit any（2）通配符 host若網(wǎng)絡(luò)管理員想要與整個(gè)IP主機(jī)地址的所有位相匹配，可以使用縮寫字 “host”。在訪問(wèn)控制列表拒絕一個(gè)特定的主機(jī)地址時(shí)

16、，為了表示這個(gè)主機(jī)IP地址，網(wǎng)絡(luò)管理員要輸入全部的地址，相應(yīng)的通配符掩碼全為0.例如：Router(config)#access-list 1 deny 9 等于 Router(config)#access-list 1 deny host 9小提示：對(duì)于標(biāo)準(zhǔn)訪問(wèn)控制列表來(lái)說(shuō)，默認(rèn)的命令是HOST，也就是說(shuō)access-list 10 deny 表示的是拒絕這臺(tái)主機(jī)數(shù)據(jù)包通訊，可以省去我們輸入host命令。標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例一（只允許某個(gè)IP地址，否定其它的）我們采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。

17、路由器連接了二個(gè)網(wǎng)段，分別為/24，/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，IP地址為3。實(shí)例1：禁止/24網(wǎng)段中除3這臺(tái)計(jì)算機(jī)訪問(wèn)/24的計(jì)算機(jī)。3可以正常訪問(wèn)/24。路由器配置命令:Router（config）#access-list 1 permit host 3 /設(shè)置ACL，容許3的數(shù)據(jù)包通過(guò)( 定義訪問(wèn)控制列表命令：Router（config）#acces

18、s-list access-list-number permit|deny test-condition)Router（config）#access-list 1 deny any /設(shè)置ACL，阻止其他一切IP地址進(jìn)行通訊傳輸。Router（config）#interface e 1 /進(jìn)入E1端口。Router（config）#ip access-group 1 in /將ACL 1宣告(訪問(wèn)控制列表應(yīng)用到某一端口上的命令：Router（config）#ip access-group access-list-number in|out經(jīng)過(guò)設(shè)置后E1端口就只容許來(lái)自3這個(gè)

19、IP地址的數(shù)據(jù)包傳輸出去了。來(lái)自其他IP地址的數(shù)據(jù)包都無(wú)法通過(guò)E1傳輸。小提示：由于CISCO默認(rèn)添加了DENY ANY的語(yǔ)句在每個(gè)ACL中，所以上面的access-list 1 deny any這句命令可以省略。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ip access-group 1 out命令來(lái)宣告，宣告結(jié)果和上面最后兩句命令效果一樣。 通常ACL被應(yīng)用在出站接口比應(yīng)用在入站接口效率要高，因此大多把它應(yīng)用在出站接口。標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例二（否定其中一個(gè)IP地址，其它的都允許訪問(wèn)）配置任務(wù)：禁止3這個(gè)計(jì)算機(jī)對(duì)/24網(wǎng)段的訪問(wèn)，而172.1

20、6.4.0/24中的其他計(jì)算機(jī)可以正常訪問(wèn)。路由器配置命令：Router（config）#access-list 1 deny host 3 /設(shè)置ACL，禁止3的數(shù)據(jù)包通過(guò)Router（config）#access-list 1 permit any /設(shè)置ACL ，容許其他地址的計(jì)算機(jī)進(jìn)行通訊Router（config）#interface e 1 /進(jìn)入E1端口Router（config）#ip access-group 1 in /將ACL1宣告(同理可以進(jìn)入E0端口后使用ip access-group 1 out來(lái)完成宣告。)配置完畢后除了17

21、3其他IP地址都可以通過(guò)路由器正常通訊，傳輸數(shù)據(jù)包。標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例三（允許一個(gè)網(wǎng)絡(luò)范圍內(nèi)的IP地址訪問(wèn)）配置允許源地址為/子網(wǎng)上的主機(jī)登陸路由器Router(config)#access-list 1 permit 55 /訪問(wèn)控制列表允許 網(wǎng)段的主機(jī)訪問(wèn)(55是采用子網(wǎng)掩碼的反碼)Router(config)#_ /路由器處于全局配置模式配置應(yīng)用接口：Router(config)#line vty 0 5 /是最大允許5個(gè)人同時(shí)telnet Route

22、r登陸(vty是虛擬終端的意思，參見(jiàn)：VTY)Router(config-line)#access-class 1 in / 將條件施加在虛擬終端線路上，配置在路由器的進(jìn)口處，將ACL1宣告(用access-class將訪問(wèn)控制列表施加于VTY線路，或WEB接口，access-group則施加到接口)在特權(quán)模式下，查看訪問(wèn)控制列表配置信息：Router #show configuration!Access-list 1 permit 55!line vty 0 5access-class 1 in!標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例四（允許幾個(gè)IP地址訪問(wèn)）配置只允許

23、源地址為和的兩臺(tái)主機(jī)登陸路由器Router(config)#access-list 10 permit /訪問(wèn)控制列表允許IP地址為的主機(jī)訪問(wèn)Router(config)#access-list 10 permit /訪問(wèn)控制列表允許IP地址為的主機(jī)訪問(wèn)Router(config)#_ access-list 10 deny any /其它主機(jī)都不允許訪問(wèn) 配置應(yīng)用接口：Router(config)#line vty 0 5 /是最大允許5個(gè)人同時(shí)tel

24、net Router登陸(vty是虛擬終端的意思，參見(jiàn)：VTY)Router(config-line)#access-class 10 in / 將條件施加在虛擬終端線路上，配置在路由器的進(jìn)口處，將ACL10宣告(用access-class將訪問(wèn)控制列表施加于VTY線路，或WEB接口，access-group則施加到接口)在特權(quán)模式下，查看訪問(wèn)控制列表配置信息：Router #show configuration!Access-list 10 permit Access-list 10 permit !line vty 0 5access-clas

25、s 10 in!在特權(quán)模式下查看訪問(wèn)控制列表：Router #show access-listsStandard IP access list 10Permit Permit Deny any標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例五禁止源地址為非法地址的數(shù)據(jù)包進(jìn)入路由器或從路由器輸出在全局配置模式下：Router(config)#access-list 30 deny 55 log /30號(hào) ACL不允許10打頭的所有地址訪問(wèn)，并且記錄下每次訪問(wèn)的情況）(log會(huì)把每次10地址訪問(wèn)的記錄下來(lái)，用命令可以查看。沒(méi)有l(wèi)og，只能在

26、access-list里看統(tǒng)計(jì)總數(shù)。)Router(config)#access-list 30 deny 3 55 /30號(hào)ACL不允許203.105.1打頭的所有IP訪問(wèn)Router(config)#access-list 30 deny 55 / 30號(hào)ACL不允許192.168打頭的所有IP訪問(wèn)Router(config)#access-list permit deny /ACL允許其它任何的IP訪問(wèn)配置應(yīng)用接口：Router(config)#interface g0/1 /進(jìn)入吉比特以太網(wǎng)配置模式，端口為0

27、/1Router(config-if)#access-group 30 in /將30號(hào)控制列表配置在路由器進(jìn)口處在特權(quán)用戶模式下，查看訪問(wèn)控制列表信息：Router#show configuration在特權(quán)用戶模式下，查看訪問(wèn)控制列表：Router#show access-lists標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)例六刪除該訪問(wèn)控制列表中的所有條件判斷，然后再重新建立Router(config)#no access-list 30（刪除訪問(wèn)控制列表命令：no access-list list-number）總結(jié)：標(biāo)準(zhǔn)ACL占用路由器資源很少，是一種最基本最簡(jiǎn)單的訪問(wèn)控制列表格式。應(yīng)用比較廣泛，經(jīng)常在要求

28、控制級(jí)別較低的情況下使用。如果要更加復(fù)雜的控制數(shù)據(jù)包的傳輸就需要使用擴(kuò)展訪問(wèn)控制列表了，他可以滿足我們到端口級(jí)的要求。二擴(kuò)展訪問(wèn)列表：上面我們提到的標(biāo)準(zhǔn)訪問(wèn)控制列表是基于IP地址進(jìn)行過(guò)濾的，是最簡(jiǎn)單的ACL。那么如果我們希望將過(guò)濾細(xì)到端口怎么辦呢?或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過(guò)濾。這時(shí)候就需要使用擴(kuò)展訪問(wèn)控制列表了。使用擴(kuò)展IP訪問(wèn)列表可以有效的容許用戶訪問(wèn)物理LAN而并不容許他使用某個(gè)特定服務(wù)(例如WWW，F(xiàn)TP等)。擴(kuò)展訪問(wèn)控制列表使用的ACL號(hào)為100到199。ACL：限制源地址、目標(biāo)地址擴(kuò)展ACL：限制源地址、目標(biāo)地址、協(xié)議、端口號(hào)擴(kuò)展訪問(wèn)控制列表的格式剛剛我們提到了標(biāo)準(zhǔn)訪問(wèn)控制列表

29、，他是基于IP地址進(jìn)行過(guò)濾的，是最簡(jiǎn)單的ACL。那么如果我們希望將過(guò)濾細(xì)到端口怎么辦呢?或者希望對(duì)數(shù)據(jù)包的目的地址進(jìn)行過(guò)濾。這時(shí)候就需要使用擴(kuò)展訪問(wèn)控制列表了。使用擴(kuò)展IP訪問(wèn)列表可以有效的容許用戶訪問(wèn)物理LAN而并不容許他使用某個(gè)特定服務(wù)(例如WWW，F(xiàn)TP等)。擴(kuò)展訪問(wèn)控制列表使用的ACL號(hào)為100到199。擴(kuò)展訪問(wèn)控制列表的格式：擴(kuò)展訪問(wèn)控制列表是一種高級(jí)的ACL，配置命令的具體格式如下：(1)定義擴(kuò)展訪問(wèn)控制列表access-list ACL號(hào) permit|deny 協(xié)議 定義過(guò)濾源主機(jī)范圍 定義過(guò)濾源端口 定義過(guò)濾目的主機(jī)訪問(wèn) 定義過(guò)濾目的端口access-list access-

30、list-number permit|deny protocol source wildcard-mask destination wildcard-mask operatoroperandoperator(操作)有It（小于）、gt（等于）、eq（等于）、neq（不等于）幾種；operand指的是端口號(hào)。例如：access-list 101 deny tcp any host eq www這句命令是將所有主機(jī)訪問(wèn)這個(gè)地址網(wǎng)頁(yè)服務(wù)(WWW)TCP連接的數(shù)據(jù)包丟棄。（2）應(yīng)用到接口Ip access-group access-list-number

31、in|out注意：如果in和out都沒(méi)有指定，那么默認(rèn)地認(rèn)為是out。小提示：同樣在擴(kuò)展訪問(wèn)控制列表中也可以定義過(guò)濾某個(gè)網(wǎng)段，當(dāng)然和標(biāo)準(zhǔn)訪問(wèn)控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴(kuò)展訪問(wèn)控制列表實(shí)例一(拒絕轉(zhuǎn)發(fā)符合協(xié)議和端口號(hào)條件的IP地址)拒絕轉(zhuǎn)發(fā)所有IP地址進(jìn)出的端口號(hào)為1433的UDP協(xié)議數(shù)據(jù)包在全局配置模式下：Router(config)#access-list 130 deny udp any eq 1433 /創(chuàng)建130號(hào)ACL，拒絕轉(zhuǎn)發(fā)所有進(jìn)出1433端口UDP包的IP地址Router(config)#access-list 130 permit ip any

32、 any /允許其它任何IP地址訪問(wèn)服務(wù)器Router(config)#_ /路由器正處于全局配置模式配置應(yīng)用接口：Router(config)#interface g0/1 / 進(jìn)入吉比特以太網(wǎng)配置模式，端口為0/1Router(config-if)#ip access-group 130 in / 將設(shè)置好條件的130號(hào)ACL配置在路由器進(jìn)口Router(config-if)#ip access-group 130 out /將設(shè)置好條件的130號(hào)ACL配置在路由器出口Router(config-if)#_ /路由器正處于端口配置模式特權(quán)用戶模式下，查看訪問(wèn)控制列表：Router #sho

33、w access-listsExtended IP access list 130Deny udp any any eq 1433Permit ip any any擴(kuò)展訪問(wèn)控制列表實(shí)例二禁封一臺(tái)主機(jī)：在全局模式下：Router（config）#access-list 112 deny ip host 30 any log /ACL不允許IP地址為30的主機(jī)訪問(wèn)服務(wù)器，提供任何（ 55）IP地址訪問(wèn)記錄(以上命令的host 30，等價(jià)于30 后面的

34、表示ACL要的條件要與IP地址 30中的每一位匹配，才能拒絕，很明顯，換句話說(shuō)ACL要拒絕的就是IP地址為30的主機(jī))Router（config）#access-list 112 deny ip any host 30 log /允許任何IP地址but 30Router（config）#access-list permit any any /允許任何其它IP地址訪問(wèn)Router(config)#interface g0/1 / 進(jìn)入吉比特以太網(wǎng)配置模式，端口為0/1Router(con

35、fig-if)#ip access-group 122 in / 將設(shè)置好條件的122號(hào)ACL配置在路由器進(jìn)口Router(config-if)#ip access-group 122 out /將設(shè)置好條件的122號(hào)ACL配置在路由器出口Router(config-if)#_ /路由器正處于端口配置模式特權(quán)用戶模式下，查看訪問(wèn)控制列表：Router #show access-listsExtended IP access list 122deny ip host 30 anydeny ip any host 30Permit ip any an

36、y擴(kuò)展訪問(wèn)控制列表實(shí)例采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中有一臺(tái)服務(wù)器提供WWW服務(wù)，IP地址為3。配置任務(wù)：禁止的計(jì)算機(jī)訪問(wèn)的計(jì)算機(jī)，包括那臺(tái)服務(wù)器，不過(guò)惟獨(dú)可以訪問(wèn)3上的WWW服務(wù)，而其他服務(wù)不能訪問(wèn)。路由器配置命令：(應(yīng)用到接口)access-list 101 permit tcp any 3 eq www 設(shè)置ACL101，容許源地址為任意IP，目的地址為172.16

37、.4.13主機(jī)的80端口即WWW服務(wù)。由于CISCO默認(rèn)添加DENY ANY的命令，所以ACL只寫此一句即可。int e 1 進(jìn)入E1端口ip access-group 101 out 將ACL101宣告出去設(shè)置完畢后的計(jì)算機(jī)就無(wú)法訪問(wèn)的計(jì)算機(jī)了，就算是服務(wù)器3開啟了FTP服務(wù)也無(wú)法訪問(wèn)，惟獨(dú)可以訪問(wèn)的就是3的WWW服務(wù)了。而的計(jì)算機(jī)訪問(wèn)的計(jì)算機(jī)沒(méi)有任何問(wèn)題。擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常

38、提供所有端口都對(duì)外界開放，很容易招來(lái)黑客和病毒的攻擊，通過(guò)擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。如本例就是僅僅將80端口對(duì)外界開放?？偨Y(jié)：擴(kuò)展ACL功能很強(qiáng)大，他可以控制源IP，目的IP，源端口，目的端口等，能實(shí)現(xiàn)相當(dāng)精細(xì)的控制，擴(kuò)展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過(guò)他存在一個(gè)缺點(diǎn)，那就是在沒(méi)有硬件ACL加速的情況下，擴(kuò)展ACL會(huì)消耗大量的路由器CPU資源。所以當(dāng)使用中低檔路由器時(shí)應(yīng)盡量減少擴(kuò)展ACL的條目數(shù)，將其簡(jiǎn)化為標(biāo)準(zhǔn)ACL或?qū)⒍鄺l擴(kuò)展ACL合一是最有效的方法?；诿Q的訪問(wèn)控制列表不管是標(biāo)準(zhǔn)訪問(wèn)

39、控制列表還是擴(kuò)展訪問(wèn)控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問(wèn)題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說(shuō)修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了我們的工作，為我們帶來(lái)了繁重的負(fù)擔(dān)。不過(guò)我們可以用基于名稱的訪問(wèn)控制列表來(lái)解決這個(gè)問(wèn)題。一、基于名稱的訪問(wèn)控制列表的格式：ip access-list standard|extended ACL名稱例如：ip access-list standard softer就建立了一個(gè)名為softer的標(biāo)準(zhǔn)訪問(wèn)控制列表。二、基于名稱的訪問(wèn)控制列表的使用方法：當(dāng)我們建立了一個(gè)基于名稱的訪問(wèn)列表后就可

40、以進(jìn)入到這個(gè)ACL中進(jìn)行配置了。例如我們添加三條ACL規(guī)則permit permit permit 如果我們發(fā)現(xiàn)第二條命令應(yīng)該是而不是，如果使用不是基于名稱的訪問(wèn)控制列表的話，使用no permit 后整個(gè)ACL信息都會(huì)被刪除掉。正是因?yàn)槭褂昧嘶诿Q的訪問(wèn)控制列表，我們使用no permit 后第一條和第三條指令依然存在?？偨Y(jié)：如果設(shè)置ACL的規(guī)則比較多的話，應(yīng)該使用基于名稱的訪問(wèn)控制列表進(jìn)行管理，這樣可以減輕很多后

41、期維護(hù)的工作，方便我們隨時(shí)進(jìn)行調(diào)整ACL規(guī)則。反向訪問(wèn)控制列表：我們使用訪問(wèn)控制列表除了合理管理網(wǎng)絡(luò)訪問(wèn)以外還有一個(gè)更重要的方面，那就是防范病毒，我們可以將平時(shí)常見(jiàn)病毒傳播使用的端口進(jìn)行過(guò)濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。不過(guò)即使再科學(xué)的訪問(wèn)控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o(wú)效，畢竟未知病毒使用的端口是我們無(wú)法估計(jì)的，而且隨著防范病毒數(shù)量的增多會(huì)造成訪問(wèn)控制列表規(guī)則過(guò)多，在一定程度上影響了網(wǎng)絡(luò)訪問(wèn)的速度。這時(shí)我們可以使用反向控制列表來(lái)解決以上的問(wèn)題。反向訪問(wèn)控制列表的用途及格式一、反向訪問(wèn)控制列表的用途反向訪問(wèn)控制列表屬于ACL的一種高級(jí)應(yīng)用。他可以有效的

42、防范病毒。通過(guò)配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING，A可以PING通B而B不能PING通A。說(shuō)得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個(gè)過(guò)程，首先是源主機(jī)向目的主機(jī)發(fā)送連接請(qǐng)求和數(shù)據(jù)，然后是目的主機(jī)在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機(jī)。反向ACL控制的就是上面提到的連接請(qǐng)求。二、反向訪問(wèn)控制列表的格式反向訪問(wèn)控制列表格式非常簡(jiǎn)單，只要在配置好的擴(kuò)展訪問(wèn)列表最后加上established即可。我們還是通過(guò)實(shí)例為大家講解。采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。路由器連接了二個(gè)網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中的計(jì)算機(jī)都是服務(wù)器，我們通

43、過(guò)反向ACL設(shè)置保護(hù)這些服務(wù)器免受來(lái)自這個(gè)網(wǎng)段的病毒攻擊。配置實(shí)例：禁止病毒從/24這個(gè)網(wǎng)段傳播到/24這個(gè)服務(wù)器網(wǎng)段。路由器配置命令：access-list 101 permit tcp 55 55 established 定義ACL101，容許所有來(lái)自網(wǎng)段的計(jì)算機(jī)訪問(wèn)網(wǎng)段中的計(jì)算機(jī)，前提是TCP連接已經(jīng)建立了的。當(dāng)TCP連接沒(méi)有建立的話是不容許訪問(wèn)的。int e 1 進(jìn)入E1端口i

44、p access-group 101 out 將ACL101宣告出去設(shè)置完畢后病毒就不會(huì)輕易的從傳播到的服務(wù)器區(qū)了。因?yàn)椴《疽雮鞑ザ际侵鲃?dòng)進(jìn)行TCP連接的，由于路由器上采用反向ACL禁止了網(wǎng)段的TCP主動(dòng)連接，因此病毒無(wú)法順利傳播。小提示：檢驗(yàn)反向ACL是否順利配置的一個(gè)簡(jiǎn)單方法就是拿里的一臺(tái)服務(wù)器PING在中的計(jì)算機(jī)，如果可以PING通的話再用那臺(tái)計(jì)算機(jī)PING的服務(wù)器，PING不通則說(shuō)明ACL配置成功。通過(guò)上文配置的反向ACL會(huì)出現(xiàn)一個(gè)問(wèn)題，那就是1

45、的計(jì)算機(jī)不能訪問(wèn)服務(wù)器的服務(wù)了，假如圖中3提供了WWW服務(wù)的話也不能正常訪問(wèn)。解決的方法是在ESTABLISHED那句前頭再添加一個(gè)擴(kuò)展ACL規(guī)則，例如：access-list 101 permit tcp 55 3 eq www這樣根據(jù)“最靠近受控對(duì)象原則”即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句。的計(jì)算機(jī)就可以正常訪問(wèn)該服務(wù)器的WWW服務(wù)了，而下面的ESTABLISHED防病毒命令還可以

46、正常生效。筆者所在公司就使用的這種反向ACL的方式進(jìn)行防病毒的，運(yùn)行了一年多效果很不錯(cuò)，也非常穩(wěn)定。基于時(shí)間的訪問(wèn)控制列表：上面我們介紹了標(biāo)準(zhǔn)ACL與擴(kuò)展ACL，實(shí)際上我們數(shù)量掌握了這兩種訪問(wèn)控制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過(guò)實(shí)際工作中總會(huì)有人提出這樣或那樣的苛刻要求，這時(shí)我們還需要掌握一些關(guān)于ACL的高級(jí)技巧。基于時(shí)間的訪問(wèn)控制列表就屬于高級(jí)技巧之一。一、基于時(shí)間的訪問(wèn)控制列表用途： 可能公司會(huì)遇到這樣的情況，要求上班時(shí)間不能上QQ，下班可以上或者平時(shí)不能訪問(wèn)某網(wǎng)站只有到了周末可以。對(duì)于這種情況僅僅通過(guò)發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問(wèn)題的，這時(shí)基于時(shí)間的訪問(wèn)控制列表應(yīng)運(yùn)而生。二