路由器协议配置 ACL访问控制技术

cisco路由器配置ACL详解什么是ACL访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的;该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了;访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置;在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识;1、最小特权原则只给受控对象完成任务所必须的最小的权限;也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的;2、最靠近受控对象原则所有的层访问权限控制;也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句;3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENYANYANY,也就是丢弃所有不符合条件的数据包;这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视;由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等;因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用;分类：标准访问控制列表扩展访问控制列表基于名称的访问控制列表反向访问控制列表基于时间的访问控制列表标准访问列表：访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL访问控制列表ACL分很多种,不同场合应用不同种类的ACL;其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL;标准访问控制列表的格式：标准访问控制列表是最简单的ACL;它的具体格式如下：access-listACL号permit|denyhostip地址例如：access-list10denyhost当然我们也可以用网段来表示,对某个网段进行过滤;命令如下：0.0.00.0.0.255呢这是因为小提示：对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list10deny标准访问控制列表实例一：环境介绍：我们采用如图所示的网络结构;实例1：路由器配置命令access-list1permithostaccess-list1denyany设置ACL,阻止其他一切IP地址进行通讯传输;inte1进入E1端口;ipaccess-group1 in将ACL1宣告;小提示：由于默认添加了DENYANY的语句在每个ACL中,所以上面的access-list1denyany这句命令可以省略;另外在路由器连接网络不多的情况下也可以在E0端口使用ipaccess-group1out命令来宣告,宣告结果和上面最后两句命令效果一样;标准访问控制列表实例二：配置任务：配置命令：access-list1denyhostaccess-list1permitany设置ACL,容许其他地址的计算机进行通讯inte1进入E1端口ipaccess-group1 in将ACL1宣告,同理可以进入E0端口后使用ipaccess-group1out来完成宣告;总结：标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式;应用比较广泛,经常在要求控制级别较低的情况下使用;如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了,他可以满足我们到端口级的要求;扩展访问控制列表：上面我们提到的标准访问控制列表是基于IP地址进行过滤的,是最简单的ACL;那么如果我们希望将过滤细到端口怎么办呢或者希望对数据包的目的地址进行过滤;这时候就需要使用扩展访问控制列表了;使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务例如,FTP等;扩展访问控制列表使用的ACL号为100到199;扩展访问控制列表的格式：扩展访问控制列表是一种高级的ACL,配置命令的具体格式如下：access-listACL号permit|deny协议定义过滤源主机范围定义过滤源端口定义过滤目的主机访问定义过滤目的端口例如：access-list101denytcpanyhosteq这句命令是将所有主机访问这个地址网页服务TCP连接的数据包丢弃;小提示：同样在扩展访问控制列表中也可以定义过滤某个网段,当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码;扩展访问控制列表的实例：环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：0.0.0默认添加DENYANY的命令,所以ACL只写此一句即可;inte0进入E1端口ipaccess-group101out将ACL101宣告出去扩展ACL有一个最大的好处就是可以保护服务器,例如很多服务器为了更好的提供服务都是暴露在公网上的,如果所有端口都对外界开放,很容易招来黑客和病毒的攻击,通过扩展ACL可以将除了服务端口以外的其他端口都封锁掉,降低了被攻击的机率;如本例就是仅仅将80端口对外界开放;总结：扩展ACL功能很强大,他可以控制源IP,目的IP,源端口,目的端口等,能实现相当精细的控制,扩展ACL不仅读取IP包头的源地址/目的地址,还要读取第四层包头中的源端口和目的端口的IP;不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器资源;所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法;基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除;也就是说修改一条或删除一条都会影响到整个ACL列表;这一个缺点影响了我们的工作,为我们带来了繁重的负担;不过我们可以用基于名称的访问控制列表来解决这个问题;一、基于名称的访问控制列表的格式：ipaccess-liststandard|extendedACL名称例如：ipaccess-liststandardsofter就建立了一个名为softer的标准访问控制列表;二、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就可以进入到这个ACL中进行配置了;例如我们添加三条ACL规则1.1.12.2.23.3.3如果我们发现第二条命令应该是2.2.2permitpermit总结：如果设置ACL的规则比较多的话,应该使用基于名称的访问控制列表进行管理,这样可以减轻很多后期维护的工作,方便我们随时进行调整ACL规则;反向访问控制列表：我们使用访问控制列表除了合理管理网络访问以外还有一个更重要的方面,那就是防范病毒,我们可以将平时常见病毒传播使用的端口进行过滤,将使用这些端口的数据包丢弃;这样就可以有效的防范病毒的攻击;不过即使再科学的访问控制列表规则也可能会因为未知病毒的传播而无效,毕竟未知病毒使用的端口是我们无法估计的,而且随着防范病毒数量的增多会造成访问控制列表规则过多,在一定程度上影响了网络访问的速度;这时我们可以使用反向控制列表来解决以上的问题;一、反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用;他可以有效的防范病毒;通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A;说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机;反向ACL控制的就是上面提到的连接请求;二、反向访问控制列表的格式反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可;我们还是通过实例为大家讲解;反向访问控制列表配置实例环境介绍：我们采用如图所示的网络结构;,我们通过反向ACL设置保护这些配置实例：路由器配置命令：0.0.0进入E1端口ipaccess-group101out将ACL101宣告出去小提示：通过上文配置的反向ACL会出现一个问题,那就是0.0.0这样根据“最靠近受控对象原则”基于时间的访问控制列表：上面我们介绍了标准ACL与扩展ACL,实际上我们只要掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了;不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧;基于时间的访问控制列表就属于高级技巧之一;一、基于时间的访问控制列表用途：可能公司会遇到这样的情况,要求上班时间不能上,下班可以上或者平时不能访问某网站只有到了周末可以;对于这种情况仅仅通过发布通知规定是不能彻底杜绝员工非法使用的问题的,这时基于时间的访问控制列表应运而生;二、基于时间的访问控制列表的格式：基于时间的访问控制列表由两部分组成,第一部分是定义时间段,第二部分是用扩展访问控制列表定义规则;这里我们主要讲解下定义时间段,具体格式如下：time-range时间段名称absolutestart小时：分钟日月年end小时：分钟日月年例如：time-rangesofterabsolutestart0:001may2005end12:001june2005意思是定义了一个时间段,名称为softer,并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点;我们通过这个时间段和扩展ACL的规则结合就可以指定出针对自己公司时间段开放的基于时间的访问控制列表了;当然我们也可以定义工作日和周末,具体要使用periodic命令;我们将在下面的配置实例中为大家详细介绍;配置实例：要想使基于时间的ACL生效需要我们配置两方面的命令：1、定义时间段及时间范围;2、ACL自身的配置,即将详细的规则添加到ACL中;3、宣告ACL,将设置好的ACL添加到相应的端口中;环境介绍：我们采用如图所示的网络结构;配置任务：路由器配置命令：time-rangesofter定义时间段名称为softerperiodicweekend00:00to23:59定义具体时间范围,为每周周末6,日的0点到23点59分;当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几;0.0.0access-list101permitipanyany设置ACL,容许其他时间段和其他条件下的正常访问;inte1进入E1端口;ipaccess-group101out宣告ACL101;提供的FTP资源了,平时无法访问;访问控制列表流量记录网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL 流量信息可以第一时间的了解网络流量和病毒的传播方式;下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息,方法就是在扩展ACL规则最后加上LOG命令;实现方法：log为指定一个日志0.0.0在希望监测的扩展ACL最后加上LOG命令,这样就会把满足该条件的信息保存到指定的日志小提示：如果在扩展ACL最后加上log-input,则不仅会保存流量信息,还会将数据包通过的端口信息也进行保存;使用LOG记录了满足访问控制列表规则的数据流量就可以完整的查询公司网络哪个地方流量大,哪个地方有病毒了;简单的一句命令就完成了很多专业工具才能完成的工作;ACL百科名片访问控制列表AccessControlList,ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包;ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等;这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制;目录ACL介绍信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的;简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段;ACL的定义也是基于每一种协议的;如果路由器接口配置成为支持三种协议IP、AppleTa lk以及IPX的情况,那么,用户必须定义三种ACL来分别控制这三种协议的数据包;1ACL的作用ACL可以限制网络流量、提高网络性能;例如,ACL可以根据数据包的协议,指定数据包的优先级;ACL提供对通信流量的控制手段;例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量;ACL是提供网络安全访问的基本手段;ACL允许主机A访问人力资源网络,而拒绝主机B访问;ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞;例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量;例如：某部门要求只能使用这个功能,就可以通过ACL实现；又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现;ACL的执行过程一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断;如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查;数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较;如果匹配假设为允许发送,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口;如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃;这里要注意,ACL不能对本路由器产生的数据包进行控制;ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间;标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号;标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇比如IP的所有通信流量;扩展ACL比标准ACL提供了更广泛的控制范围;例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL 来达到目的,标准ACL不能控制这么精确;在标准与中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字;使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改;在使用命名访问控制列表时,要求路由器的IOS 在以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字;随着网络的发展和用户要求的变化,从开始,思科CISCO路由器新增加了一种基于时间的访问列表;通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发;这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络;首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它;基于时间访问列表的设计中,用time-range命令来指定时间范围的名称,然后用absolu te命令,或者一个或多个periodic命令来具体定义时间范围;2正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量;然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把ACL放置在哪个地方;假设在的一个运行TCP/IP协议的网络环境中,网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问,即禁止从网络1到网络2的访问;根据减少不必要通信流量的通行准则,网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处,即RouterA上;如果网管员使用标准ACL来进行网络流量限制,因为标准A CL只能检查源IP地址,所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网络1到网络2、网络3和网络4的访问都将被禁止;由此可见,这个ACL控制方法不能达到网管员的目的;同理,将ACL放在RouterB和RouterC上也存在同样的问题;只有将ACL放在连接目标网络的RouterD上E0接口,网络才能准确实现网管员的目标;由此可以得出一个结论:标准ACL要尽量靠近目的端;网管员如果使用扩展ACL来进行上述控制,则完全可以把ACL放在RouterA上,因为扩展ACL能控制源地址网络1,也能控制目的地址网络2,这样从网络1到网络2访问的数据包在R outerA上就被丢弃,不会传到RouterB、RouterC和RouterD上,从而减少不必要的网络流量;因此,我们可以得出另一个结论：扩展ACL要尽量靠近源端;ACL的主要的命令命令描述ac cess-list定义访问控制列表参数ipaccess-group指派一个访问控制列表到一个接口ipacc ess-listextended定义一个扩展访问控制列表Remark注释一个访问控制列表showipaccess -list显示已配置的访问控制列表定义ACL时所应遵循的规范1ACL的列表号指出了是那种协议的ACL;各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL;这些ACL是通过ACL列表号区别的;如果在使用一种访问ACL时用错了列表号,那么就会出错误;2一个ACL的配置是每协议、每接口、每方向的;路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL;也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL;3ACL的语句顺序决定了对数据包的控制顺序;在ACL中各描述语句的放置顺序是很重要的;当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句;4最有限制性的语句应该放在ACL语句的首行;把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝放过的数据包被放过拒绝的情况;5新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能;如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上;6在将ACL应用到接口之前,一定要先建立ACL;首先在全局模式下建立ACL,然后把它应用在接口的出方向或进方向上;在接口上应用一个不存在的ACL是不可能的;7ACL语句不能被逐条的删除,只能一次性删除整个ACL;8在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在ACL里一定至少有一条“允许”的语句;9ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包;10在路由器选择进行以前,应用在接口进入方向的ACL起作用;11在路由器选择决定以后,应用在接口离开方向的ACL起作用;。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络设备的访问控制，保护网络安全，限制非授权用户的访问权限，提高网络设备的安全性。

二、实验环境本次实验使用了一台路由器和多台主机，通过配置ACL来限制主机对路由器的访问权限。

三、实验步骤1. 首先，登录路由器，进入配置模式。

2. 创建ACL，并定义访问控制列表的规则。

可以通过指定源IP地址、目的IP地址、协议类型、端口等条件来限制访问。

3. 将ACL应用到路由器的接口上，实现对该接口的访问控制。

4. 测试ACL的效果，尝试从不同的主机访问路由器，验证ACL是否生效。

四、实验结果经过配置ACL后，我们成功限制了某些主机对路由器的访问权限，只允许特定的主机进行访问。

ACL的规则生效，非授权主机无法访问路由器，有效保护了网络设备的安全。

五、实验总结通过本次实验，我们深入了解了ACL的配置和应用，学会了如何通过ACL来实现对网络设备的访问控制。

ACL是网络安全的重要手段之一，能够有效保护网络设备的安全，限制非授权用户的访问权限，提高网络的安全性。

六、实验感想ACL的配置虽然需要一定的技术和经验，但是通过实验的学习和实践，我们对ACL有了更深入的理解，掌握了ACL的配置方法和应用技巧。

在今后的网络管理和安全工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

七、展望ACL作为网络安全的重要手段，将在未来的网络管理和安全工作中发挥越来越重要的作用。

我们将继续深入学习ACL的相关知识，不断提升自己的技术水平，为网络安全做出更大的贡献。

通过本次实验，我们对ACL的配置和应用有了更深入的了解，相信在今后的学习和工作中，我们将能够更好地应用ACL来保护网络设备的安全，提高网络的安全性。

ACL配置实验报告至此完毕。

ACL规则什么是ACL规则？ACL（Access Control List）是访问控制列表的缩写，它是一种用于管理网络设备（如路由器、交换机、防火墙等）上的访问控制策略的技术。

ACL规则定义了允许或禁止通过网络设备的流量。

它基于一系列的条件和动作来控制网络流量的流入和流出。

ACL规则的作用ACL规则的作用是保护网络设备和网络资源的安全。

通过配置ACL规则，可以限制特定用户或特定IP地址的访问权限，防止未经授权的访问和攻击。

ACL规则可以用于控制网络流量的源和目的地，限制特定协议或端口的使用，实施流量过滤和防火墙策略。

ACL规则的分类ACL规则可以分为两种类型：标准ACL和扩展ACL。

标准ACL标准ACL是最简单的ACL类型，它只能基于源IP地址来过滤流量。

标准ACL适用于一些简单的网络策略，例如限制特定IP地址的访问权限。

标准ACL的规则是按照编号顺序执行的，当匹配到第一个规则时，后续的规则将不再生效。

扩展ACL扩展ACL比标准ACL更加灵活，它可以基于源IP地址、目的IP地址、协议类型、端口号等多个条件来过滤流量。

扩展ACL适用于更复杂的网络策略，可以实现更精细的流量控制和安全策略。

扩展ACL的规则也是按照编号顺序执行的，但当匹配到一条规则后，后续的规则仍然会继续执行。

ACL规则的配置与应用为了配置和应用ACL规则，我们需要了解一些基本的概念和步骤。

1. 确定ACL规则的目的在配置ACL规则之前，我们需要明确规定ACL的目的是什么。

是为了限制某些用户的访问权限，还是为了保护网络资源的安全？明确目的可以帮助我们更好地定义ACL规则。

2. 编写ACL规则根据ACL规则的目的，我们可以开始编写ACL规则。

ACL规则通常包括以下几个方面：•源IP地址：指定允许或禁止的源IP地址范围。

•目的IP地址：指定允许或禁止的目的IP地址范围。

•协议类型：指定允许或禁止的协议类型，如TCP、UDP、ICMP等。

•端口号：指定允许或禁止的端口号范围。

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表：上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢？或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务（例如WWW，FTP等）。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式：扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下：access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍：我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段，分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务，IP地址为172.16.4.13。

配置任务：禁⽌172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可配置任务：以访问172.16.4.13上的WWW服务，⽽其他服务不能访问。

路由器配置命令：access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101，容许源地址为任意IP，⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

ACL访问控制1. 什么是访问控制列表指根据事先设定好的一系列的规则，对进出路由器或者三层交换机的数据包进行检测，实现对网络的访问控制管理、流量管理等。

访问控制列表的种类2. 目前主要有三种访问控制列表（ACL）：标准ACL扩展ACL命名ACL主要动作为允许（Permit）和拒绝（deny）。

主要应用方法：入栈（In）和出栈（Out）应用。

2.1 标准ACL标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。

编号范围是从1到99。

Route(config)#access-list 1 deny 192.168.1.0 0.0.0.2552.2 扩展ACL扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从100到199。

Route(config)#access-list 101 deny 192.168.1.0 0.0.0.255 202.114.254.0 0.0.0.2552.3 命名的访问控制列表所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。

(1). 标准的命名访问控制列表Route(config)#ip access-list standard list-nameRoute(config-std-nacl)#(2). 扩展的命名访问控制列表route(config)ip access-list extended list-nameroute(config-ext-nacl)#2.4 基于时间的访问控制列表基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。

这里我们主要讲解下定义时间段，具体格式如下：time-range 时间段名称absolute start [小时：分钟] [日月年] [end] [小时：分钟] [日月年] 例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。