访问控制列表ACL

1、ACL作用：ACL （Access Control List,访问控制列表），是一系列运用到路由器接口的指令列表，路由根 据ACL中指定的条件对经过路由器接口的数据包进行检查。针对IP协议在路由的每个端口 可以创建两个ACL： 一个用于过滤进入端口的数据，另外一个用于过滤流出端口的数据。ACL的作用大致分为下面这几点： 限制网络流量，提高网络性能。 提供数据流控制。为网络访问提供基本的安全层。决定转发或阻止哪些类型的数据流。工作流程：a）当路由器的进入方向的接口收到一个分组的时候，首先检查它是否是可路由的，如果不 可路由（比如并非是发往本路由的分组），则直接丢弃。b）如果可路由，接下来判断进入

2、方向的接口是否配置了 ACL，如果没有配置进入方向的ACL， 则直接查询路由表，然后根据路由表中找到的端口准备往外转发；如果配置了进入方向 的ACL则检查指令组是否允许该分组通过，不允许则丢弃，允许则查询路由表，选择外 出接口准备往外转发，从这里可以看出入站的ACL检查是在查询路由表之前执行的。c）外出接口选择好之后，再检查外出接口上有没有配置ACL，如果配置了 ACL则检查ACL 指令组是否允许，没有配置ACL则直接转发。ACL指令组是逐条执行的，在逐条执行的过程中，只要发现有一条匹配，则使用那一条规 定动作确定允许或拒绝（比如执行第一条的时候就匹配了，那么就使用第一条规定的动作允 许或拒绝

3、，后面的语句就不会被执行了），如果所有指令都不匹配，默认的动作是拒绝。通配符掩码路由器使用通配符掩码（Wildcard Masking）与源或目标地址一起来分辨匹配的地址范围，在访 问控制列表中，将通配符掩码中的位设置成1表示忽略IP地址中对应的位，设置成0表示 必须精确匹配IP地址中对应的位，如： 55这个例子中，通配符掩码是55,前面24位是0，最后8位是1，也就是前面24位必 须精确匹配，最后8位是什么都没关系。将这个通配符和前面的IP地址结合起 来意思就是,匹配从到55的所有IP地址。又如： 55这个例子中，通配符掩码的第三个数是7, IP地址的第三位是16,对他们进行分解转化成二 进

4、制；7 = 00000 11116 = 00010 000前面说过，通配符掩码中0的部分必须精确匹配，1的部分什么都可以，也就是说16的二 进制表示法前面的5位（00010）必须精确匹配，最后3位的取值范围可以是（000-111），那 么就是；00010 000-00010 111,转化成十进制就是16-23。所以这条规则匹配的IP地址范围是-55”。 54匹配中所有偶数IP地址。 54匹配中所有奇数IP地址。上面这些例子说明了怎么通过规则中的通配符掩码确定匹配的IP地址范围，如果一个数据 包中包含了源IP地址到达路由器，假设路由器上的访问控制列表语句中包含 55，路由器按照下面的步骤匹配这个

5、IP地址：使用访问控制列表中的地址对 55执行逻辑或操作(和 55执行逻辑或运算)，得到结果55。用地址对中的通配符掩码(55)和数据包头中的IP()执行逻辑或操 作，结果为 55。将得到的两个结果相减，如果结果是0则匹配，如果结果非0,则说明不匹配。对接下来 的ACL条目都重复以上三步相同的操作。在IP访问控制列表地址掩码对中，有两个关键词可以用来省略一些输出：any:它可以用来代替地址掩码对 55，该地址掩码对匹配任何IP地 址。host：它可以用来代替通配符掩码”，该通配符掩码只能匹配一个IP地址。比如host 等同于地址对 。在标准的访问控制列表中，如果仅匹配一个 IP地址，可以省略关

6、键字host，也就是说在标准访问控制列表条目中，没有通配符掩码，说 明掩码是；而在扩展的访问控制列表中不能省略host关键字。标准ACL两中编写方法：Router(config)#access-list ACL 的编号 deny|permint source source-wildcard|any其中大括号里面的类容表示必选，中括号里面的类容表示可选，ACL的编号:标准ACL的编号范围是1-99之间的整数，扩展ACL的编号是100-199之间的整数。source source-wildcard|any:指定了一个IP地址范围，使用地址对的形式，比如, 55,host 或者any。Router(

7、config)#ip access-list standard ACL 的编号 |ACL 名称Router(config-std-nacl)# Sequence Number deny|permint source source-wildcard|any在接口应用：Router(config-if)#ip access-group ACL 的编号 |ACL 名称 in|out示例试验：Router0:interface Loopback0ip address interface FastEthernet0/0ip address duplex autospeed autorouter ospf

8、 100log-adjacency-changesnetwork 55 area 1network 55 area 1routerl:interface FastEthernet0/0ip address duplex autospeed auto!interface FastEthernet0/1ip address duplex autospeed autorouter ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1 在f0/1接口增加访问控制列表： access-list 1 deny host access

9、-list 1 permit anyinterface FastEthernet0/1ip address ip access-group 1 out duplex auto speed autorouter2:interface Loopback0 ip address !interface FastEthernet0/0ip address duplex auto speed auto !router ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1效果：router0 无法 ping标准ACL放置位置：标准的A

10、CL只能对源地址进行控制ACL仅对穿越流量起作用，对本路由器起源的流量不起作用。标准访问控制列表要尽可能的应用在靠近目标端，因为标准ACL只针对源地址进行过滤。拓展ACL：拓展ACL也有如下两种写法：Router(config)# access-list access-list-number deny|permit protocol source source-wildcard operator operand port port-name or name destination destination-wildcard operator operand port port-name or n

11、ameaccess-list-number是扩展 ACL 编号，范围从 100-199。deny|permit是这条ACL条目执行的操作，拒绝|允许|注释protocol代表协议，可以用具体的协议名称代替，比如TCP、UDP、ICMP、IP等。source source-wildcard,表示源地址以及通配符掩码。destination destination-wildcard,表 示目的地址以及通配符掩码。port port-name or name表示端口号或名称，输入telnet和23的效果是一样的。Router(config)#ip access-list extended ACL 的

12、编号 |ACL 名称Router(config-std-nacl)# Sequence Number deny|permit protocol source source-wildcard operator operand port port-name or name destination destination-wildcard operator operand port port-name or name常见端口号:/tcp FTP控制文件传输协议/tcp SSH安全登录、文件传送(SCP)和端口重定向/tcp Telnet不安全的文本传送25 /tcp SMTP 简单邮件传输协议(Si

13、mple Mail Transfer Protocol)(E-mail)53 /tcp域名服务器69 /udp TFTP 日常文件传输协议(Trivial File Transfer Protocol)80 /tcp WWW (HTTP超文本传送协议)443 /tcp HTTPS在接口应用：Router(config-if)#ip access-group ACL 的编号 |ACL 名称 in|out试验示例：I92.L68.0-： ip access-list extended ciscoPC-PT PCOSer 海 mPC-PT PCOSer 海 mRouter0:Router0:inte

14、rface FastEthernet0/0ip address duplex autospeed auto!interface FastEthernet0/1ip address ip access-group cisco induplex autospeed autorouter ospf 100log-adjacency-changesnetwork 55 area 1network 55 area 1network 55 area 1deny tcp host host eq www permit ip any any router1:interface FastEthernet0/0

15、ip address duplex auto speed auto !interface FastEthernet0/1 ip address duplex auto speed autorouter ospf 100 log-adjacency-changes network 55 area 1 network 55 area 1router2:interface FastEthernet0/0 ip address duplex auto speed auto !interface FastEthernet0/1 ip address duplex auto speed autoroute

16、r ospf 100 log-adjacency-changes network 55 area 1 network 55 area 1 network 55 area 1结果：PC0无法访问SERVER0的HTTP web界面，其余流量一切正常。特殊ACL：基于时间ACL：R2(config)#time-range workingR2(config-time-range)#periodic weekdays 7:00 to 8:00ZZPCRF03BNK-SW01(config-time-range)#absolute start 01:00 1 Jan 2018 end start 01:

17、00 2 Jan 2018ZZPCRF03BNK-SW01(config-time-range)#periodic ?FridayFridayMondayMondaySaturdaySaturdaySundaySundayThursdayThursdayTuesdayTuesdayWednesdayWednesdaydailyEvery dayof theweekweekdaysMonday thru Fridayweekend Saturday and SundayR2(config)#access-list 100 permit tcp host host eq 23 time-range workingMAC ACL 配置定义 MAC ACL：sw1(config)#mac access-list extended cciesw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.000