訪問控制列表-ACL

兩大功能

流量控制

匹配感興趣流量

ACL的3P規則

在每一個接口的每一個方向上，只能針對每種第三層協議應用一個ACL

·?每種協議一個 ACL ：要控制接口上的流量，必須為接口上啟用的每種協議定義相應的 ACL。

·?每個方向一個 ACL ：一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量，必須分別定義兩個 ACL。

·?每個接口一個 ACL ：一個 ACL 只能控制一個接口上的流量。

ACL的規范

·?每個接口,每個方向,每種協議,你只能設置1 個ACL。

·?ACL的語句順序決定了對數據包的控制順序。在ACL中各項語句的放置順序是很重要的。當路由器決定某一數據包是被轉發還是被丟棄時，會按照各項語句在ACL中的順序，根據各語句的判斷條件，對數據包進行檢查，一旦找到了某一匹配條件就結束比較過程，不再檢查以后的其他條件判斷語句

·?把最有限制性的語句放在ACL語句的首行或者語句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語句放在末行或接近末行，可以防止出現諸如本該拒絕(放過)的數據包被放過(拒絕)的情況。

·?你不可能從ACL 從除去1 行,除去1 行意味你將除去整個ACL。

·?默認ACL 結尾語句是deny any，所以你要記住的是在ACL 里至少要有1 條permit 語句

·?創建了ACL 后要把它應用在需要過濾的接口上，

·?ACL只能過濾穿過路由器的數據流量，不能過濾由本路由器上發出的數據包。

·?在路由選擇進行以前，應用在接口in方向的ACL起作用。

·?在路由選擇決定以后，應用在接口out方向的ACL起作用。

標準訪問控制列表

只能根據源地址做過濾

針對整個協議采取相關動作(允許或禁止)

建議將標準訪問控制列表放在里目的地址近的地方，因為標準訪問控制列表只能對源IP地址進行過濾

擴展訪問控制列表

能根據源、目的地地址、端口號等等進行過濾

能允許或拒絕特定的協議

建議將擴展的訪問控制列表放在離源IP地址近的地方，因為擴展訪問控制列表可以進行更細化的一些過濾

ACL范圍

ACL的入站及出站

入站

在路由選擇進行以前，應用在接口in方向的ACL起作用。

當接口入方向收到一個數據包，首先檢查接口是否有調用ACL：

·?沒有ACL，則根據IP包頭中的目的地址查路由

·?有ACL，則根據語句順序進行匹配，如果匹配中，動作為permit，查路由

·?有ACL，則根據語句順序進行匹配，如果匹配中，動作為deny，則丟棄

·?有ACL，則根據語句順序進行匹配，如果一條語句都沒有匹配中，最后會被被deny any匹配中，則丟棄

出站

在路由選擇決定以后，應用在接口out方向的ACL起作用

·?根據IP包頭中的目的地址查路由，有路由，則選擇出接口，沒有路由，則直接丟棄

·?根據路由查到出接口，出接口out方向是否調用ACL？

·?沒有ACL，則直接從接口送出去

·?有ACL，則根據語句順序進行匹配，如果匹配中，動作為permit，則從出接口送出去

·?有ACL，則根據語句順序進行匹配，如果匹配中，動作為deny，則丟棄

·?有ACL，則根據語句順序進行匹配，如果一條語句都沒有匹配中，最后會被被deny any匹配中，則丟棄

ACL的匹配流程

·?根據語句順序進行匹配，如果匹配中一條語句，則直接執行動作

·?如果第一條語句沒有匹配中，則匹配第二條

·?末尾隱含deny any

通配符掩碼

0 表示嚴格匹配

1 表示無所謂

簡寫1：

access-list 1 permit 192.168.1.1 0.0.0.0

access-list 1 permit host 192.168.1.1

簡寫2：

access-list 1 permit 0.0.0.0 255.255.255.255access-list 1 permit any

標準ACL配置

access-list 1 deny 192.168.1.1 0.0.0.0access-list 1 permit 0.0.0.0 255.255.255.255！interface e0ip access-group 1 in

記住：“no access-list access-list-number” 將會刪除整個ACL列表

配置了ACL一定要在接口下調用，否則不生效，或者接口下調用了ACL，但是全局下沒有這

個ACL，也不生效

擴展ACL配置

access-list 100 deny tcp any host 192.168.2.200 eq 23access-list 100 permit ip any any！interface e1ip access-group 1 out

記住：“no access-list access-list-number” 將會刪除整個ACL列表

命名標準ACL配置

ip access-list standard 1 (可以是序號，也可以是名字)10 permit host 192.168.1.120 permit any

命名擴展ACL配置

ip access-list extended 100 (可以是序號，也可以是名字)10 deny tcp any host 192.168.2.200 eq 2320 permit ip any any

命名序列號步長默認為10

ACL語句修改

ip access-list extended 100

no 10 //刪除語句10

11 deny tcp any host 192.168.2.200 eq 80 //在語句20前插入一條，序號為11

從定義ACL序列號步長：

ip access-list resequence xxxx(ACL序號或命名)?10 10 (遞增數值)

ACL幾個示例

·?拒絕192.168.2.0 網段，使用TCP協議，去訪問其他網段的23端口

ip access-list extended 10110 deny tcp 192.168.2.0 0.0.0.255 any eq telnet20 permit ip any any

·?禁止所有網段訪問192.168.1.1的snmp端口

ip access-list extended 11010 deny udp any host 192.168.1.1 eq snmps20 permit ip any any

·?拒絕172.16.4.0 網段，使用TCP協議，去訪問172.16.3.0網段的20，21端口，放行其他流量

ip access-list extended 10110 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 2120 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 2030 permit ip any any

·?禁止172.16.0.0-172.16.255.0/24之間所有偶數子網訪問192.168.1.1的80端口

ip access-list extended 10110 deny tcp 172.16.0.0 0.0.254.255 host 192.168.1.1 eq 8020 permit ip any any

一個練習而已，不要當真！！

·?禁止192.168.1.0網段使用 6666端口訪問192.168.2.0的3389端口

ip access-list extended 10110 deny tcp/udp 192.168.1.0 0.0.0.255 eq 6666 192.168.2.0 0.0.0.255 eq 3389

查看ACL

show run | section access-listshow ip access-listsshow ip access-lists interface vlan 10show ip interface vlan 10 Vlan10 is up, line protocol is upOutgoing access list is not setInbound access list is 100

限制設備管理

access-list 1 permit 192.168.1.1access-list 1 permit 192.168.2.1！line vty 0 4transport input telnetaccess-class 1 in

注意事項

• 交換機的二層接口只能調用in方向的ACL

• 二層交換機有能力查看ACL中的匹配條件，如源目IP，端口號等等，只是是否有必要而已

• 交換機ACL可以調用在SVI，或者三層接口上，方法與路由器三層接口一樣

努力學習，勤奮工作，讓青春更加光彩

再長的路，一步步也能走完，再短的路，不邁開雙腳也無法到達

總結

以上是生活随笔為你收集整理的pid控制从入门到精通pdf_网络工程师从入门到精通通俗易懂系列 | 访问控制列表ACL原来还可以这样理解，果断收藏！...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。