访问控制列表

访问控制列表第七章工作任务1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能访问Server1，但PC2可以访问。PC2工作任务2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以访问Server1,但PC2不能访问Server1的WWW服务。PC2学习目标1.访问控制列表2.配置标准访问控制列表3.配置扩展访问控制列表4.验证和监视ACL5.基于时间的访问控制列表6.基于名称的访问控制列表访问控制列表ACL：AccessList

应用到路由器接口的指令序列，告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。Internet

当网络访问增长时，管理IP通信当数据包通过路由器时，起到过滤作用

为什么使用ACL？ACL作用1．限制网络流量、提高网络性能。2．提供对通信流量的控制手段。3．提供网络访问的基本安全手段。4．在路由器接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。ACL如何工作ACL条件顺序CiscoIOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

ACL的类型

标准ACL检查源地址允许或拒绝整个协议族OutgoingPacketfa0/0S0/0IncomingPacketAccessListProcessesPermit?Source

扩展ACL检查源和目的地址通常允许或拒绝特定的协议OutgoingPacketFa0/0s0/0IncomingPacketAccessListProcessesPermit?Sourceand

DestinationProtocolACL的类型用扩展ACL检查数据包常见端口号端口号协议20文件传输协议（FTP）数据21文件传输协议（FTP）程序23远程登录（Telnet）25简单邮件传输协议（SMTP）69普通文件传送协议（TFTP）80超文本传输协议(HTTP)53域名服务系统（DNS）标准ACL配置access-listaccess-list-number{permit|deny}{source[wildcard]}Router(config)#例：Router(config)#access-list1permit55Step1:定义访问控制列表ACL表号（access-list-number）协议ACL表号的取值范围IP（Internet协议）1-99ExtendedIP(扩展Internet协议)100-199AppleTalk600-699IPX（互联网数据包交换）800-899ExtendedIPX(扩展互联网数据包交换)900-999IPXserviceAdvertisingProtocol(IPX服务通告协议)1000-1099通配符掩码（wildcardmask）

是一个32比特位的数字字符串

0表示“检查相应的位”,1表示“不检查（忽略）相应的位”特殊的通配符掩码1.Any552.Host9Host9{protocol}access-groupaccess-list-number{in|out}例：Router(config-if)#ipaccess-group1out标准ACL配置Step2:将访问控制列表应用到某一接口上Router(config)#ints0/0Router(config-if)#标准ACL配置ACL不在接口上应用，ACL将不起任何作用

ACL最后隐含denyany命令

ACL不能对本路由器产生的数据包进行控制

标准ACL要尽量靠近目的地址的接口处完成工作任务1S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1不能访问Server1，但PC2可以访问。PC2标准ACL与扩展ACL比较标准（Standard）扩展（Extended）过滤基于源过滤基于源和目的允许或拒绝整个协议族允许或拒绝特定的IP协议或端口范围（100-199）范围（1-99）扩展ACL配置参数参数描述access-list-number访问控制列表表号（100-109）permit|deny如果满足条件，允许或拒绝后面指定特定地址的通信流量protocol用来指定协议类型，如IP、TCP、UDP、ICMP等sourceanddestination分别用来标识源地址和目的地址source-mask通配符掩码，跟源地址相对应destination-mask通配符掩码，跟目的地址相对应operatorlt,gt,eq,neq(小于，大于，等于，不等于)port一个端口号established如果数据包使用一个已建立连接，便可允许TCP信息通过access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]扩展ACL配置ACL要在接口上应用

ACL最后隐含denyany命令扩展ACL要尽量靠近源地址的接口处完成工作任务2S0/0BS0/0R1R2F0/0F0/0PC1Server1/24/24/24要求:PC1、PC2都可以访问Server1,但PC2不能访问Server1的WWW服务。PC2验证ACLShowaccess-listShowipaccess-listShowipinterfaceShowrun基于时间的访问控制列表

基于时间的访问控制列表用途：

可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某网站只有到了周末可以。对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的，这时基于时间的访问控制列表应运而生。

基于时间的访问控制列表的格式：

基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里我们主要讲解下定义时间段，具体格式如下：

time-range

时间段名称

absolutestart[小时：分钟][日月年][end][小时：分钟][日月年]例如：time-rangesofter

absolutestart0:001may2005end12:001june2005路由器连接了二个网段，分别为/24,/24。在/24网段中有一台服务器提供FTP服务，IP地址为3。只容许网段的用户在周末访问3上的FTP资源，工作时间不能下载该FTP资源。路由器配置命令：

time-rangesofter

定义时间段名称为softer

periodicweekend00:00to23:59

定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几。

access-list101denytcpany3eqftptime-rangesofter

设置ACL，禁止在时间段softer范围内访问3的FTP服务。

access-list101permitipanyany

设置ACL，容许其他时间段和其他条件下的正常访问。

inte1

进入E1端口。

ipaccess-group101out

宣告ACL101。

基于时间的ACL比较适合于时间段的管理，通过上面的设置的用户就只能在周末访问服务器提供的FTP资源了，平时无法访问。基于名称的访问控制列表

不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。用基于名称的访问控制列表来解决上述问题。基于名称的访问控制列表的格式：

ipaccess-list[standard|extended][ACL名称]

例如：ipaccess-liststandardsofter就建立了一个名为softer的标准访问控制列表。基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了。

例如：我们添加三条ACL规则

permit

permit

permit如果我们发现第二条命令应该是而不是，如果使用不是基于名称的访问控制列表的话，使用nopermit后整个ACL信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用n