网络层访问权限控制技术 ACL详解(二) ACL基本配置

第第页网络层访问权限控制技术ACL详解(二)ACL基本配置网络层访问权限控制技术ACL详解(二)ACL基本配置

发表于：2023-05-25来源：：点击数：标签：网络ACL访问详解权限

ACL配置技术详解MILY:宋体">“说那么多废话做什么，赶快开始进行配置吧。”，A公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。“做为一个网管，

ACL配置技术详解MILY:宋体">“说那么多废话做什么，赶快开始进行配置吧。”，A公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。

“做为一个网管，我不期望普通用户能telnet到网络设备”――ACL基础

“补充一点，要求能够从我现在的机器(研发VLAN的6)上telnet到网络设备上去。”。hamm，是个不错的主意，谁都不希望有人在自己的花园中撤野。让我们分析一下，在A公司的网络中，除出口路由器外，其它所有的网络设备段的是放在Vlan1中，那个我只需要在到VLAN1的路由器接口上配置只允许源地址为6的包通过，其它的包通通过滤掉。这中只管源IP地址的ACL就叫做

标准IPACL：

我们在SWA上进行如下的配置：

access-list1permithost6

access-list1denyany

intvlan1

ipaccess-group1out

这几条命令中的相应关键字的意义如下：

access-list：配置均ACL的关键字，所有的ACL均使用这个命令进行配置。

access-list后面的1：ACL号，ACL号相同的所有ACL形成一个组。在判断一个包时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该包的判断。1-99为标准的IPACL号，标准IPACL由于只读取IP包头的源地址部分，消耗资源少。

permit/deny：操作。Permit是允许通过，deny是丢弃包。

host6/any：匹配条件，等同于6。刚才说过，标准的ACL只限制源地址。Host6(6)的意思是只匹配源地址为6的包。是wildcards，某位的wildcards为0表示IP地址的对应位必须符合，为1表示IP地址的对应位不管是什么都行。简单点说，就是55减去子网掩码后的值，的wildcards就是意味着IP地址必须符合6，可以简称为host6。any表示匹配所有地址。

注意：IOS中的ACL均使用wildcards，并且会用wildcards对IP地址进行严格的对齐，如你输入一条access-list1permit291，在你showaccess-list看时，会变成access-list1permit281，PIXOS中的ACL均使用subnetmasks，并且不会进行对齐操作。更为详细的关于IPV4地址的（资料）可以参见拙著《IPv4基础知识》/showarticle.php?s=articleid=60一文

intvlan1///ipaccess-group1out：这两句将access-list1应用到vlan1接口的out方向。其中1是ACL号，和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤，可以有in和out两种选择。

注意：这里的in/out都是站在路由器或三层模块（以后简称R）上看的，in表示从该接口进入R的包，out表示从该接口出去的包。

好了，这就是一个最基本的ACL的配置方法。什么，你说普通用户还能telnet到RTA？那你在intvlan3上现加一个ipaccess-group1out吧。Hammmm，等等，你这样加上去普通用户就访问不了internet了。让我们把刚才的ACL去掉，重新写一个。

回忆一下，我们的目的是除了6能够进行telnet操作外，其它用户都不允许进行telnet操作。刚才我们说过，标准的IPACL只能控制源IP地址，不能控制到端口。要控制到第四层的端口，就需要使用到：

扩展的IPACL的配置

先看看配置实例吧。在SWA上进行如下配置：

intvlan1

noipaccess-group1out

exit

noaccess-list1

access-list101permittcphost6anyeqtelnet

access-list101denytcpanyanyeqtelnet

intvlan1

ipaccess-group101out

intvlan3

ipaccess-group101out

你应该注意到到这里的ACL有一些变化了，现在对变化的部分做一些说明：

access-list101：注意这里的101，和刚才的标准ACL中的1一样，101是ACL号，表示这是一个扩展的IPACL。扩展的IPACL号范围是100-199，扩展的IPACL可以控制源IP、目的IP、源端口、目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口，的IP在没有硬件ACL加速情况下，会消耗大量的CPU资源。

intvlan1///noipaccess-group1out///exit///noaccess-list1：取消access-list1，对于非命名的ACL，可以只需要这一句就可以全部取消。注意，在取消或修改一个ACL前，必须先在它所应用的接口上先把应用给no掉，否则会导致相当严重的后果。

tcphost6anyeqtelnet：匹配条件。完整格式为：协议源地址源wildcards[关系][源端口]目的地址目的wildcards[关系][目的端口]。其中协议可以是IP、TCP、UDP、EIGRP等，[]内为可选字段。仅在协议为tcp/udp等具备端口号的协议才有用。关系可以是eq(等于)、neq（不等于）、lt(大于)、range（范围）等。端口一般为数字的1-65535，对于周知端口，如23(服务名为telnet)等可以用服务名代替。源端口和目的端口不定义时表示所有端口。

把这个ACL应用上去后，用户们开始打电话来骂娘了，因为他们都访问不了Internet了，是哪里出了问题了呢？

注意：所有的ACL，缺省情况下，从安全角度考虑，最后都会隐含一句denyany(标准ACL)或denyipanyany（扩展IPACL）。所以在不了解业务会使用到哪些端口的情况下，最好在ACL的最后加上一句permitipanyany，在这里就是access-list101permitipanyany。

现在用户倒是能够访问Internet了，但我们的可怜的网管却发现普通用户还是能够telnet到他的SWA上面，因为SWA上面有很多个网络接口，而且使用扩展的ACL会消耗很多的资源。有什么简单的办法能够控制用户对网络设备的Telnet访问，而又不消耗太多的资源呢？这就需要使用到：

对网络设备自身的访问如何进行控制的技术

让我们先把刚才配置的ACL都取掉(具体配置略，不然后读者会以为我在骗稿费了。)，再在每台网络设备上均进行如下配置：

access-list1permithost6

linevty04(部分设备是15)

access-class1in

这样就行了，telnet都是访问的设备上的linevty，在linevty下面使用access-class与ACL组进行关联，in关键字表示控制进入的连接。

就这么简单？wk，你丫是不是在玩我们，为什么还要绕一大圈？臭鸡蛋和烂西红柿开始在70的脑袋上方狂飞。(5555555，偶也只是想向大家把ACL的基础知识讲的明白一些的嘛)。经过刚才的配置，我们可以理出一个简单的ACL配置步骤了：

u分析（需求），找清楚（需求）中要保