应用高级ACL配置流分类示例

ACL概念与配置实例05-31 by LinuxA防火墙必须能够提供控制网络数据流的能力，以用于安全性、qos需求和各种策略制定等各个方面。

实现数据流控制的手段之一是使用acl（access control list，访问控制列表）。

acl是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。

反掩码和子网掩码相似，但写法不同0表示需要比较1表示忽略比较反掩码和IP地址结合使用，可以描述一个地址范围反掩码（11111110）表示所有的偶数，（11111100）表示所有的4的倍数。

于此类推。

通配符any可代替0.0.0.0 255.255.255.255host表示与整个IP主机地址的所有位相匹配标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包标准IP访问控制列表的访问控制列表号从1到99标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝标准访问控制列表一般用在目标地址的入口扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制扩展访问控制列表行中的每个条件都必须匹配，才认为该行被匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制使用的数字号在100到199之间扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝扩展访问控制列表一般用在源地址的出口。

标准的:access-list 1-99 deny/permit 源IP地址扩展的:access-list 100-199 deny/permit ip/tcp/udp/icmp源IP/网段源端口eq/neq/gt/ct 目的IP/网段目的端口eq/neq/gt/ct然后在接口下ip access-group ACL号 out/inACL的处理过程：若第一条不匹配，则依次往下进行判断，直到有任一条语句匹配ACL使用反码来标志一个或几个地址是被允许还是被拒绝配置实例标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表Router(config)# access-list access-list-number { permit | deny } source [source- wildcard-mask ] [log](config)# access-list access-list-number permit any第二步，使用ip access-group命令把访问控制列表应用到某接口Router（config-if）# ip access-group access-list-number { in | out }扩展访问控制列表的配置第一步，使用access-list命令创建一个扩展访问控制列表(config)# access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port][established][log](config)# access-list access-list-number permit ip any any第二步，使用ip access-group命令把一个扩展访问控制列表应用到某接口（config-if）# ip access-group access-list-number { in | out }扩展ACL的应用示例：第一步，创建拒绝来自172.16.4.0去往172.16.3.0的telnet流量的ACLRouter(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)# access-list 101 permit ip any any第二步，应用到接口E0的出方向上Router(config)# interface Ethernet 0Router（config-if）# ip access-group 101 out命名访问控制列表的配置(config)# ip access-list extended cisco其余步骤与上类同，但提示符会变为（config ext-nacl）# ，如果是标准访问控制列表则变为（config std-nacl）#。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

访问控制列表ACL应用多种案例本文以华为设备为例ACL简介访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。

所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。

设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

基本ACL根据源IP地址、分片信息和生效时间段等信息来定义规则，对IPv4报文进行过滤。

如果只需要根据源IP地址对报文进行过滤，可以配置基本ACL。

本例，就是将基本ACL应用在FTP模块中，实现只允许指定的客户端访问FTP服务器，以提高安全性。

本文包含以下5个ACL应用案例1使用ACL限制FTP访问权限示例2使用ACL限制用户在特定时间访问特定服务器的权限示例3使用ACL禁止特定用户上网示例4配置特定时间段允许个别用户上网示例5使用ACL限制不同网段的用户互访示例使用ACL限制FTP访问权限示例组网需求如图1所示，Switch作为FTP服务器，对网络中的不同用户开放不同的访问权限：子网1（172.16.105.0/24）的所有用户在任意时间都可以访问FTP服务器。

子网2（172.16.107.0/24）的所有用户只能在某一个时间范围内访问FTP 服务器。

其他用户不可以访问FTP服务器。

已知Switch与各个子网之间路由可达，要求在Switch上进行配置，实现FTP服务器对客户端访问权限的设置。

图1 使用基本ACL限制FTP访问权限组网图操作步骤配置时间段<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] time-range ftp-access from 0:0 2014/1/1 to 23:592014/12/31 //配置ACL生效时间段，该时间段是一个绝对时间段模式的时间段[Switch] time-range ftp-access 14:00 to 18:00 off-day //配置ACL生效时间段，该时间段是一个周期时间段，ftp-access最终生效的时间范围为以上两个时间段的交集配置基本ACL[Switch] acl number 2001[Switch-acl-basic-2001] rule permit source 172.16.105.00.0.0.255 //允许172.16.105.0/24网段的所有用户在任意时间都可以访问FTP服务器[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access //限制172.16.107.0/24网段的所有用户只能在ftp-access时间段定义的时间范围内访问FTP服务器[Switch-acl-basic-2001] rule deny source any //限制其他用户不可以访问FTP服务器[Switch-acl-basic-2001] quit配置FTP基本功能[Switch] ftp server enable //开启设备的FTP服务器功能，允许FTP 用户登录[Switch] aaa[Switch-aaa] local-user huawei password irreversible-cipherirreversible-cipher方式的密码仅适用于V200R003C00及以后版本，在V200R003C00之前版本上，仅适用cipher方式密码[Switch-aaa] local-user huawei privilege level 15 //配置FTP用户的用户级别[Switch-aaa] local-user huawei service-type ftp //配置FTP用户的服务类型[Switch-aaa] local-user huawei ftp-directory cfcard: //配置FTP用户的授权目录，在盒式交换机上需配置为flash:[Switch-aaa] quit配置FTP服务器访问权限[Switch] ftp acl 2001 //在FTP模块中应用ACL验证配置结果在子网1的PC1（172.16.105.111/24）上执行ftp 172.16.104.110命令，可以连接FTP服务器。

ACL案例及说明技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

该网络的拓朴如下图所示：自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

标准ACL和扩展ACL的应用实例配置实例访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机。

本文通过2个实例，介绍标准ACL和扩展ACL的使用方法。

在介绍案例之前，我们先来了解一下什么是标准访问控制列表和扩展访问控制列表：标准访问控制列表比较简单，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，在思科的路由器里使用的访问控制列表号1到99以及1300到1999来创建相应的ACL。

扩展访问控制列表功能很强大，他可以控制源IP，目的IP，源端口，目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口的IP。

不过他存在一个缺点，那就是在没有硬件ACL加速的情况下，扩展ACL会消耗大量的路由器CPU资源。

所以当使用中低档路由器时应尽量减少扩展ACL的条目数。

在思科路由器里，扩展访问控制列表使用的ACL号为100到199以及2000到2699。

案例一：标准ACL应用实例一、组网结构及需求某企业总部在北京，广州有一分公司，通过专线连接到北京总部。

广州分公司有管理者和普通员工两个网段，要求在路由器的接口上通过ACL进行控制，让管理者网段可以访问北京公司的数据库，但普通员工禁止访问北京公司数据库。

二、配置方法1、广州公司路由器的数据配置interface FastEthernet0/0ip address 10.10.10.1 255.255.255.0duplex autospeed autointerface Serial0/0description to beijingip address 192.168.1.1 255.255.255.252 encapsulation pppinterface FastEthernet0/1ip address 20.20.20.1 255.255.255.0duplex autospeed autoip route 0.0.0.0 0.0.0.0 192.168.1.22、北京公司路由器的数据配置interface FastEthernet0/0ip address 172.16.1.1 255.255.255.0duplex autospeed autointerface Serial0/0description to Guangzhouip address 192.168.1.2 255.255.255.252ip access-group 10 in /*与广州互连接口的入方向上，应用标准访问控制列表10 */encapsulation pppinterface FastEthernet0/1ip address 172.16.2.1 255.255.255.0duplex autospeed autoip route 0.0.0.0 0.0.0.0 192.168.1.1access-list 10 permit 20.20.20.0 0.0.0.255 /*标准访问控制列表10，允许源地址为20.20.20.0网段的数据包通过*/案例二：扩展ACL应用实例一、组网结构及需求组网机构与案例一相同，要求广州分公司的管理者网段可以访问北京公司的数据库1和数据库2；普通员工可以访问数据库一，但禁止访问数据库二。