CISCOACL教程

1、CISCOACL教程ACL概述 ACL的工作过程 ACL分类 ACL配置 翻转掩码 标准ACL的配置 扩展ACL的配置 命名（Named）ACL的配置 使用ACL控制虚拟终端（VTY）的访问 访问控制列表（Access Control List，ACL） 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 ACL用途 （1）限制网络流量、提高网络性能；（2）提供对通信流量的控制手段；（3）提供网络访问的基本安全手段；（4）在路由器（交换机）接口处，决定哪种类型的通信流量被转发、哪种被阻塞。 ACL的操作过程 入站访问控制操作过程 出站访问控制操作过程 ACL的逻辑测试过程 相对

2、网络接口来说，从网络上流入该接口的数据包，为入站数据流。 对入站数据流的过滤控制称为入站访问控制。 如果一个入站数据包被访问控制列表禁止（deny），那么该数据包被直接丢弃（discard）。 只有那些被ACL允许（permit）的入站数据包才进行路由查找与转发处理。 入站访问控制节省了那些不必要的路由查找转发的开销。 从网络接口流出的网络数据包，称为出站数据流。 出站访问控制是对出站数据流的过滤控制。 那些被允许的入站数据流需要进行路由转发处理。 在转发之前，交由出站访问控制进行过滤控制操作。 入站接口入站接口数据包数据包NY数据包丢弃桶数据包丢弃桶选择选择网络接口网络接口N接口接口是否使用

3、是否使用ACL？路由表路由表是否存在是否存在该路由该路由？Y出站接口出站接口数据包数据包S0NYN数据包数据包访问控制列表访问控制列表逻辑测试逻辑测试是否允许是否允许？YYS0E0入站接口入站接口数据包数据包路由表路由表是否存在是否存在该路由该路由？选择选择网络接口网络接口接口接口是否使用是否使用ACL？数据包丢弃桶数据包丢弃桶数据包数据包出站接口出站接口通知发送者通知发送者如果逻辑测试没有任何匹配，则丢弃数据包如果逻辑测试没有任何匹配，则丢弃数据包NYNYY丢弃数据包丢弃数据包N数据包数据包S0E0入站接口入站接口数据包数据包路由表路由表是否存在是否存在该路由该路由？选择选择网络接口网络接口

4、接口接口是否使用是否使用ACL？数据包丢弃桶数据包丢弃桶数据包数据包出站接口出站接口访问控制列表访问控制列表逻辑测试逻辑测试是否允许是否允许？数据报文数据报文报文丢弃桶报文丢弃桶Y目的接口目的接口DenyDenyY匹配匹配第一条第一条规则规则?PermitYDenyDenyYPermitNDenyPermit匹配匹配下一条下一条规则规则?YY数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配匹配第一条第一条规则规则?YDenyDenyYPermitNDenyPermitDeny匹配匹配最后一条最后一条规则规则?YYNYYPermit数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配

5、匹配下一条下一条规则规则?匹配匹配第一条第一条规则规则?YDenyYPermitNDenyPermitDenyYYNYYPermit强制丢弃强制丢弃若无任何匹配若无任何匹配则丢弃则丢弃DenyN数据报文数据报文目的接口目的接口报文丢弃桶报文丢弃桶匹配匹配第一条第一条规则规则?匹配匹配下一条下一条规则规则?匹配匹配最后一条最后一条规则规则?范围范围/标识标识IP 1-99100-199, 1300-1999, 2000-2699Name (Cisco IOS 11.2 and later)800-899900-9991000-1099Name (Cisco IOS 11.2. F and lat

6、er)StandardExtendedSAP filtersNamedStandardExtendedNamedACL类型类型IPX 标准IP ACL（1到99）根据IP报文的源地址测试 扩展IP ACL（100到199）可以测试IP报文的源、目的地址、协议、端口号源地址源地址段段Segment（例如，例如，TCP首部）首部）数据数据Data报文报文Packet（IP首部）首部）帧帧Frame首部首部（例如，例如，HDLC）DenyPermit 使用使用ACL规则语句规则语句1-99 目的地址目的地址源地址源地址协议（例如协议（例如TCP）端口号端口号 使用使用ACL规则语句规则语句100-1

7、99DenyPermit帧帧Frame首部首部（例如，例如，HDLC）报文报文Packet（IP首部）首部）段段Segment（例如，例如，TCP首部）首部）数据数据Data第一步：创建第一步：创建ACLRouter(config)#第二步：第二步：将将ACL绑定到指定接口绑定到指定接口 protocol access-group access-list-number in | out Router(config-if)#access-list access-list-number permit | deny test conditions 0代表检查对应地址位的值 1代表忽略对应地址位的值d

8、o not check address (ignore bits in octet)=001111111286432168421=00000000=00001111=11111100=11111111ignore last 6 address bitscheck all address bits(match all)ignore last 4 address bitscheck last 2 address bits示例示例 例如： 表示检查所有的地址位 可以使用关键字host将上语句简写为：测试条件：检查所有的地址位（测试条件：检查所有的地址位（match all） 9

9、一个一个IP host关键字的示例如下：关键字的示例如下：反转掩码：反转掩码： 接受任何地址： 可以使用关键字any将上语句简写为：any测试条件：忽略所有的地址位（测试条件：忽略所有的地址位（match any）任何任何IP地址地址反转掩码：反转掩码：Check for IP subnets /24 to /24.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0

10、0 1 1 1 1 1 =31Address and wildcard mask: 通配符掩码和IP子网的对应access-list access-list-number permit|deny source maskRouter(config)# 为访问控制列表增加一条测试语句为访问控制列表增加一条测试语句 标准标准IP ACL的参数的参数access-list-number 取值范围从取值范围从1到到99 “no access-list access-list-number” 命令删除指定号码的命令删除指定号码的ACLaccess-list access-list-number permi

11、t|deny source maskRouter(config)# 在特定接口上启用ACL 设置测试为入站（in）控制还是出站（out）控制 缺省为出站（out）控制 “no ip access-group access-list-number” 命令在特定接口禁用ACLRouter(config-if)#ip access-group access-list-number in | out 为访问控制列表增加一条测试语句为访问控制列表增加一条测试语句 标准标准IP ACL的参数的参数access-list-number 取值范围从取值范围从1到到99 “no access-list acce

12、ss-list-number” 命令删除指定号码的命令删除指定号码的ACLE0S0E1Non- (implicit deny all - not visible in the list)(access-list 1 deny 55)只允许本机所在网络访问 (implicit deny all - not visible in the list)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outinterface ethernet 1i

13、p access-group 1 outE0S0E1Non-拒绝特定主机的访问E0S0E1Non-access-list 1 deny 3 E0S0E1Non-access-list 1 deny 3 access-list 1 permit (implicit deny all)(access-list 1 deny 55)拒绝特定主机的访问拒绝特定主机的访问access-list 1 deny 3 access-list 1

14、permit (implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outE0S0E1Non-拒绝特定主机的访问拒绝特定主机的访问拒绝特定子网的访问E0S0E1Non-access-list 1 deny access-list 1 permit any(implicit deny all)(access-list 1 deny 55)access-list 1 den

15、y access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 outE0S0E1Non-拒绝特定子网的访问拒绝特定子网的访问Router(config)#为扩展IP ACL增加一条测试语句Eq-等于 lt-小于 gt-大于 neq-不等于Establisted 用与TCP入站访问控制列表，意义在于允许TCP报文在建立了一个确定的连接后，后继报文可以通过Log 向控制台发送一条规则匹配

16、的日志信息access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established logRouter(config-if)# ip access-group access-list-number in | out Router(config)# access-list access-list-number permit | deny protocol source so

17、urce-wildcard operator port destination destination-wildcard operator port established log为扩展IP ACL增加一条测试语句在特定接口上启用扩展ACL禁止子网中任何主机访问上的ftp服务 允许其他任何服务E0S0E1Non-access-list 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20E0S0E1Non-access-li

18、st 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)禁止子网中任何主机访问上的禁止子网中任何主机访问上的ftp服务服务 允许其他任何服务允许其他任何服务access-lis

19、t 101 55 55 eq 21access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 outE0S0E1Non-禁止子网中任何主

20、机访问上的禁止子网中任何主机访问上的ftp服务服务 允许其他任何服务允许其他任何服务禁止网段的主机远程登录（telnet）到网段的任何机器 允许其他任何数据通过E0S0E1Non-access-list 101 deny tcp 55 any eq 23E0S0E1Non-access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)禁止网段的主机远程登录（禁止网段的主机远程登录（telnet）到网段的任何机

21、器到网段的任何机器 允许其他任何数据通过允许其他任何数据通过access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 outE0S0E1Non-禁止网段的主机远程登录（禁止网段的主机远程登录（telnet）到网段的任何机器到网段的任何机器 允许其他任何数据通过允许其他任何数据通过Router(config)#ip access-list standard | e

22、xtended name Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名称必须唯一字符串名称必须唯一Router(config)#ip access-list standard | extended name permit | deny ip access list test conditions permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config std- | ext-nacl)# 配置配置per

23、mit和和deny语句的时候不需在前面指定语句的时候不需在前面指定ACL号码号码 “no”命令删除指定的命名命令删除指定的命名ACL测试语句测试语句 Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名称必须唯一字符串名称必须唯一Router(config)# ip access-list standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions permit | deny ip access list test cond

24、itions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 在特定接口上启用命名在特定接口上启用命名ACL Cisco IOS Release 11.2以后的新增特性以后的新增特性 字符串名称必须唯一字符串名称必须唯一 配置配置permit和和deny语句的时候不需在前面指定语句的时候不需在前面指定ACL号码号码 “no”命令删除指定的命名命令删除指定的命名ACL测试语句测试语句 在靠近源地址的网络接口上设置扩展ACL 在靠近目的地址的网络接口上设

25、置标准ACLE0E0E1S0To0S1S0S1E0E0TokenRing建议：建议：wg_ro_a#show ip int e0Ethernet0 is up, line protocol is up Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled

26、 Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled wg_ro_a#show access-lists Standard IP access list 1Extended IP access list 101 permit tcp