訪問控制列表-ACL

兩大功能

流量控制

匹配感興趣流量

ACL的3P規(guī)則

在每一個(gè)接口的每一個(gè)方向上，只能針對(duì)每種第三層協(xié)議應(yīng)用一個(gè)ACL

·?每種協(xié)議一個(gè) ACL ：要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的 ACL。

·?每個(gè)方向一個(gè) ACL ：一個(gè) ACL 只能控制接口上一個(gè)方向的流量。要控制入站流量和出站流量，必須分別定義兩個(gè) ACL。

·?每個(gè)接口一個(gè) ACL ：一個(gè) ACL 只能控制一個(gè)接口上的流量。

ACL的規(guī)范

·?每個(gè)接口,每個(gè)方向,每種協(xié)議,你只能設(shè)置1 個(gè)ACL。

·?ACL的語句順序決定了對(duì)數(shù)據(jù)包的控制順序。在ACL中各項(xiàng)語句的放置順序是很重要的。當(dāng)路由器決定某一數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被丟棄時(shí)，會(huì)按照各項(xiàng)語句在ACL中的順序，根據(jù)各語句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查，一旦找到了某一匹配條件就結(jié)束比較過程，不再檢查以后的其他條件判斷語句

·?把最有限制性的語句放在ACL語句的首行或者語句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語句放在末行或接近末行，可以防止出現(xiàn)諸如本該拒絕(放過)的數(shù)據(jù)包被放過(拒絕)的情況。

·?你不可能從ACL 從除去1 行,除去1 行意味你將除去整個(gè)ACL。

·?默認(rèn)ACL 結(jié)尾語句是deny any，所以你要記住的是在ACL 里至少要有1 條permit 語句

·?創(chuàng)建了ACL 后要把它應(yīng)用在需要過濾的接口上，

·?ACL只能過濾穿過路由器的數(shù)據(jù)流量，不能過濾由本路由器上發(fā)出的數(shù)據(jù)包。

·?在路由選擇進(jìn)行以前，應(yīng)用在接口in方向的ACL起作用。

·?在路由選擇決定以后，應(yīng)用在接口out方向的ACL起作用。

標(biāo)準(zhǔn)訪問控制列表

只能根據(jù)源地址做過濾

針對(duì)整個(gè)協(xié)議采取相關(guān)動(dòng)作(允許或禁止)

建議將標(biāo)準(zhǔn)訪問控制列表放在里目的地址近的地方，因?yàn)闃?biāo)準(zhǔn)訪問控制列表只能對(duì)源IP地址進(jìn)行過濾

擴(kuò)展訪問控制列表

能根據(jù)源、目的地地址、端口號(hào)等等進(jìn)行過濾

能允許或拒絕特定的協(xié)議

建議將擴(kuò)展的訪問控制列表放在離源IP地址近的地方，因?yàn)閿U(kuò)展訪問控制列表可以進(jìn)行更細(xì)化的一些過濾

ACL范圍

ACL的入站及出站

入站

在路由選擇進(jìn)行以前，應(yīng)用在接口in方向的ACL起作用。

當(dāng)接口入方向收到一個(gè)數(shù)據(jù)包，首先檢查接口是否有調(diào)用ACL：

·?沒有ACL，則根據(jù)IP包頭中的目的地址查路由

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果匹配中，動(dòng)作為permit，查路由

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果匹配中，動(dòng)作為deny，則丟棄

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果一條語句都沒有匹配中，最后會(huì)被被deny any匹配中，則丟棄

出站

在路由選擇決定以后，應(yīng)用在接口out方向的ACL起作用

·?根據(jù)IP包頭中的目的地址查路由，有路由，則選擇出接口，沒有路由，則直接丟棄

·?根據(jù)路由查到出接口，出接口out方向是否調(diào)用ACL？

·?沒有ACL，則直接從接口送出去

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果匹配中，動(dòng)作為permit，則從出接口送出去

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果匹配中，動(dòng)作為deny，則丟棄

·?有ACL，則根據(jù)語句順序進(jìn)行匹配，如果一條語句都沒有匹配中，最后會(huì)被被deny any匹配中，則丟棄

ACL的匹配流程

·?根據(jù)語句順序進(jìn)行匹配，如果匹配中一條語句，則直接執(zhí)行動(dòng)作

·?如果第一條語句沒有匹配中，則匹配第二條

·?末尾隱含deny any

通配符掩碼

0 表示嚴(yán)格匹配

1 表示無所謂

簡(jiǎn)寫1：

access-list 1 permit 192.168.1.1 0.0.0.0

access-list 1 permit host 192.168.1.1

簡(jiǎn)寫2：

access-list 1 permit 0.0.0.0 255.255.255.255access-list 1 permit any

標(biāo)準(zhǔn)ACL配置

access-list 1 deny 192.168.1.1 0.0.0.0access-list 1 permit 0.0.0.0 255.255.255.255！interface e0ip access-group 1 in

記住：“no access-list access-list-number” 將會(huì)刪除整個(gè)ACL列表

配置了ACL一定要在接口下調(diào)用，否則不生效，或者接口下調(diào)用了ACL，但是全局下沒有這

個(gè)ACL，也不生效

擴(kuò)展ACL配置

access-list 100 deny tcp any host 192.168.2.200 eq 23access-list 100 permit ip any any！interface e1ip access-group 1 out

記住：“no access-list access-list-number” 將會(huì)刪除整個(gè)ACL列表

命名標(biāo)準(zhǔn)ACL配置

ip access-list standard 1 (可以是序號(hào)，也可以是名字)10 permit host 192.168.1.120 permit any

命名擴(kuò)展ACL配置

ip access-list extended 100 (可以是序號(hào)，也可以是名字)10 deny tcp any host 192.168.2.200 eq 2320 permit ip any any

命名序列號(hào)步長(zhǎng)默認(rèn)為10

ACL語句修改

ip access-list extended 100

no 10 //刪除語句10

11 deny tcp any host 192.168.2.200 eq 80 //在語句20前插入一條，序號(hào)為11

從定義ACL序列號(hào)步長(zhǎng)：

ip access-list resequence xxxx(ACL序號(hào)或命名)?10 10 (遞增數(shù)值)

ACL幾個(gè)示例

·?拒絕192.168.2.0 網(wǎng)段，使用TCP協(xié)議，去訪問其他網(wǎng)段的23端口

ip access-list extended 10110 deny tcp 192.168.2.0 0.0.0.255 any eq telnet20 permit ip any any

·?禁止所有網(wǎng)段訪問192.168.1.1的snmp端口

ip access-list extended 11010 deny udp any host 192.168.1.1 eq snmps20 permit ip any any

·?拒絕172.16.4.0 網(wǎng)段，使用TCP協(xié)議，去訪問172.16.3.0網(wǎng)段的20，21端口，放行其他流量

ip access-list extended 10110 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 2120 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 2030 permit ip any any

·?禁止172.16.0.0-172.16.255.0/24之間所有偶數(shù)子網(wǎng)訪問192.168.1.1的80端口

ip access-list extended 10110 deny tcp 172.16.0.0 0.0.254.255 host 192.168.1.1 eq 8020 permit ip any any

一個(gè)練習(xí)而已，不要當(dāng)真！！

·?禁止192.168.1.0網(wǎng)段使用 6666端口訪問192.168.2.0的3389端口

ip access-list extended 10110 deny tcp/udp 192.168.1.0 0.0.0.255 eq 6666 192.168.2.0 0.0.0.255 eq 3389

查看ACL

show run | section access-listshow ip access-listsshow ip access-lists interface vlan 10show ip interface vlan 10 Vlan10 is up, line protocol is upOutgoing access list is not setInbound access list is 100

限制設(shè)備管理

access-list 1 permit 192.168.1.1access-list 1 permit 192.168.2.1！line vty 0 4transport input telnetaccess-class 1 in

注意事項(xiàng)

• 交換機(jī)的二層接口只能調(diào)用in方向的ACL

• 二層交換機(jī)有能力查看ACL中的匹配條件，如源目IP，端口號(hào)等等，只是是否有必要而已

• 交換機(jī)ACL可以調(diào)用在SVI，或者三層接口上，方法與路由器三層接口一樣

努力學(xué)習(xí)，勤奮工作，讓青春更加光彩

再長(zhǎng)的路，一步步也能走完，再短的路，不邁開雙腳也無法到達(dá)

總結(jié)

以上是生活随笔為你收集整理的pid控制从入门到精通pdf_网络工程师从入门到精通通俗易懂系列 | 访问控制列表ACL原来还可以这样理解，果断收藏！...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。