ACL原理及配置实例

标准ACL的工作原理及应用1. 什么是标准ACL标准访问控制列表（Access Control List，简称ACL）是网络设备（如路由器、交换机）中一个用于控制网络流量的功能。

它通过匹配数据包的源地址来决定是否允许数据包通过设备。

标准ACL是一种基本的ACL类型，它只能根据源IP地址来控制流量，而不能根据目标IP地址、协议类型、端口号等进行控制。

2. 标准ACL的工作原理标准ACL通过配置设备的规则来实现对数据包的控制。

设备会按照这些规则逐一匹配数据包，并根据匹配结果来决定是否通过。

下面是标准ACL的工作原理的简要步骤：•当数据包进入设备时，设备会检查它的源IP地址。

•设备会按照事先配置好的规则进行逐一匹配。

每个规则通常包含一个IP地址（或地址段）和一个操作（如允许或拒绝）。

•如果数据包的源IP地址与某个规则匹配，则设备会根据规则的操作决定如何处理数据包。

•如果数据包的源IP地址没有与任何规则匹配，则设备会使用默认的行为决定如何处理数据包。

3. 标准ACL的应用场景标准ACL通常用于限制特定源IP地址的访问权限，常见的应用场景包括：3.1 限制内部设备的访问可以使用标准ACL来限制内部网络中某些设备对外部网络的访问权限。

例如，可以阻止某个局域网中的设备访问特定的互联网地址。

3.2 限制外部网络对内部设备的访问标准ACL还可用于限制外部网络对内部设备的访问。

通过配置标准ACL，可以阻止特定的外部IP地址访问内部网络中的设备。

3.3 过滤出某特定流量标准ACL还可以用于过滤出某特定的流量。

例如，通过配置标准ACL，可以只允许某个特定的IP地址通过设备，并拒绝其他所有IP地址的访问。

3.4 限制特定协议流量虽然标准ACL主要根据源IP地址进行控制，但也可以结合其他条件来限制特定协议的流量。

例如，可以通过使用扩展ACL和标准ACL的组合来实现根据协议类型限制流量的功能。

4. 配置标准ACL的步骤配置标准ACL大致包括以下几个步骤：1.进入设备的配置模式。

ACL技术原理浅析及实例ACL（Access Control List）是网络安全中用于实现访问控制的一种技术，它通过对网络流量进行过滤，只允许特定的用户、IP 地址、端口等可以通过网络。

通常，ACL技术应用于路由器、交换机、防火墙等网络设备中。

ACL主要基于两种原理：允许列表和拒绝列表。

允许列表是指只有特定的用户、网络地址、端口等得到许可，其他所有的流量都被阻挡。

拒绝列表则是指特定的用户、网络地址、端口等被拒绝，其他所有的流量都被允许通过。

通常情况下，ACL的实现是基于拒绝列表，因为这种方式可确保只允许经授权批准的用户和流量通过网络访问。

ACL可以应用于多种场景中，其中最常见的场景是网络边缘（如路由器和交换机）和防火墙控制。

以下是两个ACL实例：实例1：路由器ACL假设你有一个位于本地网络上的路由器，你需要保护其免受身份验证失败的攻击。

为了实现这一点，你可以使用ACL来控制每个进入该路由器的IP数据包。

为了创建ACL，你需要为每个允许或拒绝的IP地址分配一个标准IP扩展访问列表（standard IP extended access list）。

有了这个列表，你可以控制进入该路由器的每个数据包，以便仅允许经过授权的用户通过访问。

以下是创建标准IP扩展访问列表的示例命令：access-list 1 permit 10.0.0.0 0.255.255.255access-list 1 deny any这两行命令将允许来自10.0.0.0/8子网的付费用户接入路由器，同时拒绝来自其他网络或单个IP地址的流量。

实例2：防火墙ACL假设你拥有一个防火墙来保护公共网络的安全，你需要实现对特定IP地址和端口的访问控制。

为了实现这个目标，你可以使用ACL来过滤掉所有未经授权的访问请求。

你需要创建一个标准ACE （Access Control Entry）列表，该列表包含允许和拒绝访问的IP地址、端口等信息。

以下是创建标准ACE列表的示例命令：access-list 101 permit tcp 10.10.10.0 0.0.0.255 eq 80access-list 101 deny tcp any any eq 80这两个命令将允许来自10.10.10.0/24子网的付费用户通过80端口进行访问，同时拒绝所有其他来源的80端口访问请求。

什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出：已经经路由器的处理，正离开路由器接口的数据包入：已经到达路由器接口的数据包，将被路由器处理。

匹配顺序为："自上而下，依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表：一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表(标准ACL)访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL.它的具体格式：access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

ACL配置实例拓扑图如下：实验一：标准访问控制列表1、设置访问控制列表1，禁止192、168、2、2这台主机访问192、168、1、0/24这个网段中得服务器，而192、168、2、0/24这个网段中得其它主机可以正常访问。

设置访问控制列表如下：R1(config)#access-list 1 deny host 192、168、2、2R1(config)#access-list 1 permit any将访问控制列表应用到接口F0/0得出站方向上R1(config)#int f0/0R1(config-if)#ip access-group 1 out2、设置访问控制列表2，只允许192、168、2、0/24这个网段中得主机可以访问外网，192、168、1、0/24这个网段得主机则不可以。

设置访问控制列表R1(config)#access-list 2 permit 192、168、2、0 0、0、0、255将访问控制列表应用到S0/0得出站方向上R1(config)#int serial 0/0R1(config-if)#ip access-group 2 out3、设置访问控制列表3，只允许192、168、2、3这台主机可以使用telnet连接R1。

4、查瞧访问控制列表2 match(es)这些信息显示就是过滤包得数据，可以使用clear access-list counters命令来清除。

5、查瞧配置在接口上得访问控制列表6、删除访问控制列表删除访问控制列表要从两个方面入手，一就是删除访问控制列表，二就是取消访问控制列表有接口上得应用。

R1(config)#no access-list 1R1(config)#int f0/0R1(config-if)#no ip access-group 1 out实验二：扩展访问控制列表扩展访问控制列表得语法：access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP 反码条件[eq] [具体协议/端口号]1、在SERVER上搭建、DNS服务如下：2、测试从三台PC中就是否可以正常访问各种服务。

网络安全之——ACL（访问控制列表）网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本ACL的原理及配置方法。

2、熟悉高级ACL的应用场合并灵活运用。

【实验环境】H3C三层交换机1台，PC 3台，标准网线3根。

【引入案例1】某公司建设了Intranet，划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门，各部门之间通过三层交换机（或路由器）互联，并接入互联网。

自从网络建成后麻烦不断，一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱，一会儿财务部抱怨研发部的人看了不该看的数据，一会儿领导抱怨员工上班时候整天偷偷泡网，等等。

有什么办法能够解决这些问题呢？【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响，例如，数据的安全性、员工经常利用互联网做些与工作不相干的事等等。

一方面，为了业务的发展，必须允许合法访问网络，另一方面，又必须确保企业数据和资源尽可能安全，控制非法访问，尽可能的降低网络所带来的负面影响，这就成了摆在网络管理员面前的一个重要课题。

网络安全采用的技术很多，通过ACL （Access Control List，访问控制列表）对数据包进行过滤，实现访问控制，是实现基本网络安全的手段之一。

【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法，是包过滤防火墙的一种重要实现方式。

ACL是在网络设备中定义的一个列表，由一系列的匹配规则（rule）组成，这些规则包含了数据包的一些特征，比如源地址、目的地址、协议类型以及端口号等信息，并预先设定了相应的策略——允许（permint）或禁止（Deny）数据包通过。

基于ACL的包过滤防火墙通常配置在路由器的端口上，并且具有方向性。

每个端口的出站方向（Outbound）和入站方向（Inbound）均可配置独立的ACL 进行包过滤。

出方向过滤基于ACL的包过滤当路由器收到一个数据包时，如果进入端口处没有启动ACL包过滤，则数据包直接提交路由器转发进程处理，如果进入端口处启动了ACL包过滤，则数据交给入站防火墙进行过滤，其工作流程如图所示。