访问控制列表-介绍

1、访问控制列表Version: 10.A本课程前您应该已经完成如下课程 TCP/IP协议基础什么是访问控制列表？ 访问控制列表简介 访问控制列表（ACL，Access Control List ）是路由器或者交换机上的流量过滤器，它可以根据数据报文的属性，比如MAC地址、IP地址、端口号等来识别特定类型的数据流量。在识别出数据流量后，访问控制列表可执行预定义的动作(Permit或者Deny)。什么是访问控制列表？ 访问控制列表的作用 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息

2、的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 ACL也可以结合其他的功能模块完成较为复杂的功能。比如可以结合NAT功能、时间域功能、动作组等 。什么是访问控制列表？访问控制列表定义 访问控制列表由一系列的规则组成，每条规则都用来匹配一种特定类型的流量，规则的序号（Sequence）决定了这条规则在访问控制列表中的位置。 下面的示例定义了一条IP标准访问列表，该访问控制列

3、表的名称为1，由4条规则组成。ip access-list standard 1 10 permit 36.48.3.0 0.0.0.255 20 deny 36.48.0.0 0.0.255.255 30 permit 36.0.0.0 0.255.255.255 40 deny any exit什么是访问控制列表？ 访问控制列表如何工作？ 访问控制列表对报文按照规则序号从小到大的顺序进行检查，访问控制列表中第一条与报文相匹配的规则决定了该报文的处理结果：允许（permit）或拒绝（deny）。如果没有与报文相匹配的规则，那么该报文也被拒绝，也就是说，没有被允许的都会被拒绝掉。因为规则最后隐

4、含了一条内容为deny any的规则 。什么是访问控制列表？访问控制列表如何工作？ 下图显示了该访问列表各网段的访问权限。阴影部分的动作为deny，白色部分的动作为permit。标准访问列表网段分割示意图什么是访问控制列表？ 访问控制列表如何工作？ 需要注意的是，在最后一条规则的后面（即上面的规则30之后），隐含了一条内容为deny any的规则，其序号比访问列表中所有规则的序号都要大，且这条隐含的规则是不可见的，它将与前面的所有规则都不能匹配的报文进行丢弃。如果不想让该隐含的规则起作用，那么必须手工配置一条内容为permit any的规则，以允许不符合其它所有规则条件的报文通过。什么是访问控

5、制列表？ 访问控制列表的分类 按照访问表的用途，常见的有五种类型：IP标准访问控制列表IP扩展访问控制列表MAC标准访问控制列表MAC扩展访问控制列表什么是访问控制列表？访问控制列表的分类 1、IP标准访问列表 IP标准访问列表只根据报文的源地址进行制定规则，对数据包进行相应的分析处理。例如，下面的标准IP访问列表拒绝从主机171.69.198.102发来的报文，但是允许从其它主机发来的报文： ip access-list standard 1 10 deny host 171.69.198.102 20 permit any exit什么是访问控制列表？访问控制列表的分类 2、IP扩展访问列

6、表 IP扩展访问列表可以根据IP上层协议号、源IP地址、目的IP地址、源TCP/UDP端口号、目的TCP/UDP端口号、TCP标志、ICMP消息类型和代码、TOS优先级等属性对数据包进行过滤。 例如，下面的IP扩展访问列表显示了拒绝从网络171.69.198.0/24发往网络172.20.52.0/24的telnet报文，但是允许其它的TCP报文。 ip access-list extended 1001 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet 20 permit tcp any any exit什么

7、是访问控制列表？ 访问控制列表的分类 3、MAC标准访问列表 MAC标准访问列表只根据以太报文的源MAC地址制定规则，对数据包进行相应的分析处理。 例如，下面的MAC访问列表只允许MAC为0001.7a0f.1523的数据包通过，其他的数据包都禁止通过。 mac access-list standard 2001 10 permit host 0001.7a0f.1523 exit什么是访问控制列表？ 访问控制列表的分类 4、MAC扩展访问列表 MAC扩展访问表可以根据以太报文的源MAC地址、目的MAC地址、802.1P优先级、VLAN ID、以太类型来制定规则，对数据包进行相应的分析处理。

8、例如，下面的MAC扩展访问列表禁止源MAC地址为0001.7a0f.1523访问目的MAC为0001.0001.0001的设备。mac access-list extended 3001 10 deny host 0001.7a0f.1523 host 0001.0001.0001 20 permit any any exit什么是访问控制列表？ 访问控制列表的分类 5、Hybrid访问列表 Hybrid访问列表可以根据IP协议号、源IP地址、源MAC地址，VLAN等属性制定分类规则，对数据包进行相应的处理。 例如，下面的hybrid 访问列表禁止源MAC地址为0001.0001.0001、源

9、 IP地址为1.1.1.1、所属VLAN为 10的数据包访问网络。 hybrid access-list extended 5001 10 deny ip host 1.1.1.1 host 0001.0001.0001 vlan-id 10 20 permit ip any any exit 怎样配置访问控制列表？怎么配置访问控制列表？ 在讲述各种ACL的配置之前，先介绍一下ACL规则中IP地址的表示方法。 在IP标准及IP扩展访问列表中，在定义规则时，source用于定义报文的源网络或主机，source-wildcard是应用于source的通配符，destination用于定义报文的目的

10、网络或主机，destination-wildcard是应用于destination的通配符。 地址通配符的格式与IP 地址一样，也是32位点分十进制格式。如果地址通配符某一位为1，则相应的源IP地址（对应source-wildcard）或目的IP地址（对应destination-wildcard）对应位为任意值（即无意义）。如果地址通配符某一位为0，则相应的IP地址对应位为指定的值。可以简单地认为地址通配符等于子网掩码按位取反。怎么配置访问控制列表？ 在讲述各种ACL的配置之前，先介绍一下ACL规则中IP地址的表示方法。 例如：如果要对源IP地址为192.168.12.2的主机进行过滤，则应该

11、设置相应规则的source为192.168.12.2，source-wildcard为0.0.0.0。如果要对192.168.12.0/24网段的所有主机进行过滤，则可以设置source=192.168.12.x（x表示0255任意值，一般取0），source-wildcard=0.0.0.255。 source，source-wildcard，destination，destination-wildcard有如下三种表示方法：1、都用32位点分十进制格式；2、关键字any是source及source-wildcard（或destination及destination-wildcard）为0.

12、0.0.0 255.255.255.255的缩写，即指明为任意源（目的）主机；3、host source代表源主机source及source-wildcard为0.0.0.0，host destination代表目的主机destination及destination-wildcard为0.0.0.0。怎么配置访问控制列表？ 访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令命令描述配置模式access-list* 配置访问列表 configip access-list standard* 配置标准访问列表configsequence* 配置规则的序号，范围。config-std-na

13、clpermit* 配置一条允许通过的规则config-std-nacldeny* 配置一条拒绝通过的规则config-std-nacl怎么配置访问控制列表？ 访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令access-list定义一条以数字命名的IP标准访问列表的规则。access-list access-list-number permit | deny any | source source-wildcard | host source log time-range time-range-nameno格式是删掉一条以数字命名的访问列表，包含它里面的所有规则。no acces

14、s-list access-list-numberip access-list standard创建一个IP标准访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入IP标准访问列表配置模式。ip access-list standard access-list-number | access-list-name no格式是删掉某个IP标准访问列表，包含它里面的所有规则。no ip access-list standard access-list-number | access-list-name 怎么配置访问控制列表？ 访问控制列表相关命令的使用1、IP标准访问控制列表的基本指令pe

15、rmit | deny配置一条permit或deny的IP标准访问列表规则。sequence permit | deny any | source source-wildcard | host source log time-range time-range-nameno格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。no sequenceno sequence permit | deny any | source source-wildcard | host source log time-range time-range-name怎么配置访问控制列表？ 访问控制列表相关命令

16、的使用2、IP扩展访问控制列表的基本指令命令描述配置模式access-list配置访问列表configip access-list extend配置IP扩展访问列表configsequence配置规则的序号，范围。config-ext-naclpermit配置一条允许通过的规则config-ext-nacldeny配置一条拒绝通过的规则config-ext-naclshow ip access-list显示IP访问列表的配置情况特权模式clear ip access-list清除IP访问列表的报文统计特权模式show access-list显示访问列表的配置情况特权模式clear access

17、-list清除访问列表的报文统计特权模式怎么配置访问控制列表？ 访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令access-list定义一条以数字命名的IP扩展访问列表的规则。access-list access-list-number permit | deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type icmp-code igmp-type operator destination-port destin

18、ation-port ack / fin / established / psh / rst / syn / urg precedence precedence tos tos dscp dscp fragments log time-range time-range-nameaccess-list access-list-number remark commentno格式是删掉某个访问列表，包含它里面的所有规则。no access-list access-list-number怎么配置访问控制列表？ 访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令ip access-list e

19、xtended定义一个IP扩展访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入IP扩展访问列表配置模式。ip access-list extended access-list-number | access-list-name no格式是删掉某个访问列表，包含它里面的所有规则。no ip access-list extended access-list-number | access-list-name 怎么配置访问控制列表？ 访问控制列表相关命令的使用2、IP扩展访问控制列表的基本指令permit | deny配置一条permit或deny的IP扩展访问列表规则。sequenc

20、e permit | deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type icmp-code igmp-type operator destination-port destination-port ack / fin / established / psh / rst / syn / urg precedence precedence tos tos dscp dscp fragments log time-range

21、time-range-nameno格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。no sequenceno sequence permit | deny protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type icmp-code igmp-type operator destination-port destination-port ack / fin / established / psh / rst / syn /

22、 urg precedence precedence tos tos dscp dscp fragments log time-range time-range-name怎么配置访问控制列表？ 访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令命令描述配置模式access-list* 配置访问列表configmac access-list standard* 配置MAC标准访问列表configsequence* 配置规则的序号，范围。config-std-mac-naclpermit* 配置一条允许通过的规则config-std-mac-nacldeny配置一条拒绝通过的规则con

23、fig-std-mac-nacl怎么配置访问控制列表？ 访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令access-list定义一条以数字命名的MAC标准访问列表的规则。access-list access-list-number permit | deny any | mac-source mac-source-wildcard | host mac-sourceno格式是删掉一条以数字命名的访问列表，包含它里面的所有规则。no access-list access-list-number怎么配置访问控制列表？ 访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令m

24、ac access-list standard创建一个MAC标准访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC标准访问列表配置模式。mac access-list standard access-list-number | access-list-name no格式是删掉某个MAC标准访问列表，包含它里面的所有规则。no mac access-list standard access-list-number | access-list-name 怎么配置访问控制列表？ 访问控制列表相关命令的使用3、MAC标准访问控制列表的基本指令permit | deny配置一条perm

25、it或deny的MAC标准访问列表规则。sequence permit | deny any | mac-source mac-source-wildcard | host mac-sourceno格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。no sequenceno sequence permit | deny any | mac-source mac-source-wildcard | host mac-source怎么配置访问控制列表？ 访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令命令描述配置模式access-list配置访问列表configmac

26、access-list extended配置MAC扩展访问列表configsequence配置规则的序号，范围。config-ext-mac-naclpermit配置一条允许通过的规则config-ext-mac-nacldeny配置一条拒绝通过的规则config-ext-mac-naclshow mac access-list显示MAC访问列表的配置情况特权模式clear mac access-list清除MAC访问列表的配置情况特权模式怎么配置访问控制列表？ 访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令access-list定义一条以数字命名的MAC扩展访问列表的规则。a

27、ccess-list access-list-number permit | deny any | mac-source mac-source-wildcard | host mac-source any | mac-destination mac-destination-wildcard | host mac-destination ether-typeaccess-list access-list-number remark commentno格式是删掉一条以数字命名的访问列表，包含它里面的所有规则。no access-list access-list-number怎么配置访问控制列表？

28、访问控制列表相关命令的使用4、MAC扩展访问控制列表的基本指令mac access-list extended创建一个MAC扩展访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入MAC扩展访问列表配置模式。mac access-list extended access-list-number | access-list-name no格式是删掉某个MAC扩展访问列表，包含它里面的所有规则。no mac access-list extended access-list-number | access-list-name 怎么配置访问控制列表？ 访问控制列表相关命令的使用4、MAC扩展

29、访问控制列表的基本指令permit | deny配置一条permit或deny的MAC扩展访问列表规则。sequence permit | deny any | mac-source mac-source-wildcard | host mac-source any | mac-destination mac-destination-wildcard | host mac-destination ether-typeno格式是删除指定的规则，可以仅指定规则序号，也可以带上规则的内容。no sequenceno sequence permit | deny any | mac-source ma

30、c-source-wildcard | host mac-source any | mac-destination mac-destination-wildcard | host mac-destination ether-type怎么配置访问控制列表？ 访问控制列表相关命令的使用5、基于时间域的访问控制列表的基本指令命令描述配置模式time-range配置时间域configperiodic*配置相对时间段config-time-rangeabsolute*配置绝对时间段config-time-rangeip time-range将时间域与整条ACL绑定configset time-range

31、 frequency配置刷新周期configset time-range max-offset配置最大时间偏差configset time-range enable启动时间域功能configset time-range disable关闭时间域功能configshow time-range显示时间域的配置和状态特权模式访问控制列表应用范例访问控制列表应用范例 IP标准访问控制列表范例如下图：建立IP标准访问列表2，定义了两条规则，它禁止子网92.49.0.0上的主机IP地址为92.49.0.3发来的包通过，允许子网92.48.0.0上所有机器发来的包，拒绝接收其它的包。ip access-li

32、st standard 2 10 deny host 92.49.0.3 20 permit 92.49.0.0 0.0.0.255 30 deny any exitinterface fastethernet0 ip access-group 2 inexit访问控制列表（ACL）技术迈普路由器采用的是包过滤式的防火墙技术；包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据；访问控制列表以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，ICMP的类型、代码，IGMP的类型等）进行筛选；访问列表根据过滤的内容可以分成2类，标准访

33、问列表和扩展访问列表；访问控制列表应用范例 IP扩展访问控制列表范例如下图：建立IP扩展访问列表1001，定义了两条规则，它禁止子网92.49.0.0上的主机IP地址为92.49.0.3访问子网10.1.1.0上的主机10.1.1.2，允许子网92.48.0.0上所有地址访问所有的网络，拒绝接收其它的包。ip access-list extended 1001 10 deny ip host 92.49.0.3 host 10.1.1.2 20 permit ip 92.49.0.0 0.0.0.255 any 30 deny ip any any exitinterface fastethe

34、rnet0 ip access-group 1001 inexit访问控制列表应用范例 MAC标准访问控制列表范例如下图：建立MAC标准访问列表2001，定义了两条规则，它只允许MAC地址为0001.7a0f.1523的主机通过接口fastethernet0，拒绝接收其它的包。mac access-list standard 2001 10 permit host 0001.7a0f.1523 exitinterface fastethernet0 mac access-group 2001 inexit访问控制列表应用范例 IP访问控制列表结合NAT的范例如下图：建立IP扩展访问列表1001

35、，定义了三条规则，它禁止子网92.49.0.0上的主机IP地址为92.49.0.3访问Internet，允许子网92.48.0.0上所有地址访问Internet，禁止其他的网络访问Internet。ip access-list extended 1001 10 deny ip host 92.49.0.3 any 20 permit ip 92.49.0.0 0.0.0.255 any 30 deny ip any any exitinterface fastethernet0 ip nat insideexitinterface fastethernet1 ip nat outsideExitip nat inside source list 2001 interface fastethernet1 overload访问控制列表应用范例 基于时间域的IP访问控制列表结合NAT的范例如下图：建立IP扩展访问列表1001，定义了三条规则，它只允许子网92.49.0.0上的主机IP地址为92.49.0.3在上班时间访问Internet，禁止子网92.48.0.0上所有地址访问Internet，禁止其他的网络访问Internet。ip access-list extended 1001 10 pe