ACL访问控制列表配置要点

合集下载

网络路由技术中的访问控制列表配置指南(系列三)

本文将就网络路由技术中的访问控制列表配置指南展开探讨。

访问控制列表（Access Control List，ACL）是网络设备中常用的安全功能，用于限制网络流量的流向和访问权限。

一、ACL的概念和作用ACL是一种规则集合，用于过滤网络流量并控制数据包的传输。

通过ACL，网络管理员可以根据特定要求或策略，允许或禁止特定的流量通过路由器或交换机。

ACL可以用来实现多种功能，例如网络安全、流量控制和带宽管理。

它可以根据源IP地址、目的IP地址、端口号等信息进行条件匹配，并根据匹配结果执行相应的操作，如允许通过、拒绝或丢弃数据包。

二、ACL配置的基本原则在进行ACL配置时，需要遵循一些基本的原则，以确保配置的准确性和可行性。

1. 明确配置目标：在开始配置之前，需明确想要实现的目标。

这包括确定要允许或拒绝的流量类型，以及这些流量要应用于哪些接口或设备。

2. 尽量简化配置：避免复杂的ACL配置，以提高性能和管理效率。

应采用最简单的匹配条件和操作，并合并冗余的规则。

3. 配置精确性和完整性：确保ACL规则的精确性和完整性，避免出现模糊不清或遗漏的规则。

使用通配符时要小心，确保只匹配所需的流量。

三、ACL的配置步骤1. 确定访问控制的层次：根据网络环境和需求确定ACL配置的层次，如在路由器的入口或出口配置ACL、在交换机的VLAN接口配置ACL等。

2. 配置ACL的规则：根据实际需求，制定ACL规则。

通常情况下，先配置拒绝规则，再配置允许规则，确保拒绝的规则在前。

3. 验证和测试：在完成配置后，应进行验证和测试。

验证ACL的准确性，确保配置能够按预期限制或允许特定的流量流过。

四、常见问题和注意事项在进行ACL配置时，还需要注意一些常见问题和注意事项，以确保配置的安全和有效性。

1. 规则的顺序：ACL规则按照顺序匹配，优先匹配规则会生效。

因此，应根据实际需求和策略，认真排列规则的顺序。

2. 定期审查：随着网络环境的变化，ACL配置也需定期审查和更新。

把握ACL配置的7个关键点

把握ACL配置的7个关键点在路由器或三层交换机上，可以通过使用访问控制列表（ACL，Access Control List）来执行数据包过滤。

访问控制列表可以用来控制网络上数据包的传递、现在虚拟终端的通信量或者控制路由选择跟新，现在网络访问特定的用户和设备。

细节决定成败，我们在配置访问控制列表时往往因忽视一些细节，导致访问控制列表不起作用。

为充分发挥访问控制列表的强大功能，提高运行效率，在配置过程中应着重把握以下几个关键点。

关键点1：标准访问控制列表要应用在靠近目标端标准的访问控制列表只能针对源地址进行控制，提供基本的过滤功能，用1~99的数值来作为列表的标识。

配置标准访问控制列表分为两个步骤，第一步是创建列表，第二步是应用列表。

但在配置过程中要弄清楚以下几点：是要确定访问控制列表用在哪台设备上：是要确定访问控制列表用在哪个接口上：是要确定访问控制列表用在哪个方向上（是Out还是In）：是列表中的语句匹配顺序是从上而下：是要将访问控制列表用在靠近目标端的地方。

如图1所示，我们配置标准访问控制列表的要求是，不允许Router1访问Router3。

首先进行分析：把Router1作为源地址，Router3作为目标地址，数据流的方向就是从左到右，从Router1到Router3，数据流共经过了4个接口，在4个接口上都可以配置访问控制列表，但所起的作用是不一样的。

图1标准访问控制第一种情况：如果把访问控制列表用在Router1的S1/1端口，方向应该是Out，结果将不起作用。

原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不进行过滤。

第二种情况：如果用在Router2的S1/0端口，方向应该是In，结果其作用。

Router1不能访问Router3了，可Router1也不能访问Router2了，因为标准访问控制列表只能针对源地址，当Router1访问Router2的数据包进入路由器Router2的S1/0端口时，源地址不符合，数据包被丢弃。

ACL访问控制列表配置要点

ACL的使用ACL的处理过程：1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit）2.语句顺序按照由上而下的顺序处理列表中的语句3. 语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。

4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1.ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

2.如果在语句结尾增加deny any的话可以看到拒绝记录3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

）允许172.17.31.222通过，其他主机禁止Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

访问控制列表(ACL)配置

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

ACL访问控制列表配置与优化

ACL访问控制列表配置与优化ACL（Access Control List）访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。

通过ACL，可以根据规则过滤和限制网络流量，以实现对网络资源的保护和管理。

本文将介绍ACL访问控制列表的配置和优化方法。

一、ACL基本概念ACL是一组用于控制网络流量的规则集合，它根据规则匹配和处理数据包。

ACL可以基于源IP地址、目的IP地址、传输层协议（如TCP或UDP）、传输层端口号等信息对数据包进行过滤和限制。

ACL规则由许多条目组成，每个条目包含一个或多个匹配条件和一个动作。

匹配条件可以根据需要自定义，动作决定如何处理匹配到的数据包，可以是允许通过、拒绝或执行其他操作。

二、ACL配置方法1. 确定访问控制目标：在配置ACL之前，需明确要保护的网络资源和限制的网络流量类型，以便针对性地配置ACL规则。

2. 创建ACL规则：根据网络资源的保护需求和限制要求，设置ACL规则。

可以使用命令行界面（CLI）或图形用户界面（GUI）进行配置。

3. 规则优先级：规则的顺序非常重要，ACL规则按照从上到下的顺序逐条匹配，匹配成功后立即执行相应的动作。

因此，应将最常见或最具限制性的规则放在前面。

4. 匹配条件：根据需要设置匹配条件，常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。

更复杂的条件可结合使用。

5. 动作设置：根据匹配结果设置动作，可以是允许通过、拒绝或执行其他操作，如重定向、日志记录等。

6. 应用ACL：在需要进行流量控制和保护的设备上应用ACL配置，使其生效。

三、ACL优化方法1. 精简ACL规则：定期审查ACL规则，删除不必要的规则。

过多或冗余的规则会影响ACL匹配性能。

2. 规则合并：将具有相同动作和相似匹配条件的规则合并，减少规则数量，提高ACL处理效率。

3. 设置默认规则：通过设置默认规则，对未匹配到的数据包进行统一配置，避免未预期的情况。

访问控制列表(ACL)总结配置与应用

………… interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in duplex auto speed auto
三、命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图：配置允许主机 PC 访问 WEB 服务的 WWW 服务，而禁止主机 PC 访问 WEB 的其他服务。
1、分析哪个接口应用标准 ACL
应用在入站还是出站接口。与标准 ACL 一样，应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包，
3、将 ACL 应用于接口
创建 ACL 后，只有将 ACL 应用于接口，ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口（in），还是初战接口（out）。在接口上取消 ACL 的应用 Router（config）#no ip access-group acess-list-number (in | out)
access-llist-number：访问控制列表表号，对于扩展 ACL 来书是 100-199； permit | deny：如果满足条件，则允许|拒绝该流量； protocol：用于指定协议类型，如 IP、TCP、UDP、ICMP 等； source、destination：源和目的，分别用来表示源地址和目的地址； source-wildcard、destination-wildcard：反码。源地址和目标地址的反码； operator operan：lt（小于）、gt（大于）、eq（等于）、neq（不等于）和一个端口。

访问控制列表ACL的配置与使用

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。

访问控制列表(ACL)的配置

1.4 标准访问控制列表在路由接口应用 ACL的实例
2、验证标准ACL 配置完IP访问控制列表后，如果想知道是否正确，可以使用 show access-lists、show ip interface等命令进行验证。
2、验证标准ACL
①show access-lists命令该命令用来查看所有访问控制列表的内容。 RTB# show access-lists Standard ip access list 1 10 permit 172.16.10.20 20 deny 172.16.10.0, wildcard bits 0.0.0.255 (16 matches) 30 permit any (18 matches)
对于标准个之准acl来说是一个从1到99或1300到1999之间的数字deny如果满足测试条件则拒绝从该入口来的通信流量permit如果满足测试条件则允许从该入口来的通信量source数据包的源地址可以是网络地址或是主机ip地址sourcewildcard可选项通配符掩码又称反掩码用来跟源地址一起决定哪些位需要匹配log可选项生成相应的日志消息用来记录经过acl入口的数据包的情况三在通配符掩码中有两种比较特殊分别是any和hostany可以表示任何ip地址例如
1.6 实训1 配置标准ACL
一、实训目的
掌握ACL设计原则和工作过程；掌握配置标准ACL；掌握配置命名ACL；掌握ACL的调试
二、实训任务
配置标准ACL。要求拒绝PC2所在网段访问路由器RTB，同时只允许主机 PC3访问路由器RTB的Telnet服务。整个网络配置EIGRP保证IP的连通性。删除内容1所定义的标准ACL，配置扩展ACL。要求只允许PC2所在网段的主机访问路由器RTB的WWW和Telnet服务，并拒绝PC3所在的网段ping路由器RTB。用命名ACL来实现(1)和(2)的要求。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

）允许172.17.31.222访问任何主机80端口，其他主机禁止Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www允许所有主机访问172.17.31.222主机telnet（23）端口其他禁止Cisco-3750(config)#access-list 100（100-199、2000-2699）permit tcp any host 172.17.31.222 eq 23接口应用（入方向）（所有ACL只有应用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group 1 in（出方向out）命名方式一、标准建立标准ACL命名为test、允许172.17.31.222通过，禁止172.17.31.223通过，其他主机禁止Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 172.17.31.222Cisco-3750(config-std-nacl)#deny host 172.17.31.223建立标准ACL命名为test、禁止172.17.31.223通过，允许其他所有主机。

Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#deny host 172.17.31.223Cisco-3750(config-std-nacl)#permit any二、扩展建立扩展ACL命名为test1，允许172.17.31.222访问所有主机80端口，其他所有主机禁止Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www建立扩展ACL命名为test1，禁止所有主机访问172.17.31.222主机telnet（23）端口，但允许访问其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23Cisco-3750(config-ext-nacl)#permit tcp any any接口应用（入方向）（所有ACL只有应用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3750(config-if)#ip access-group test in（出方向out）接口应用原则标准ACL，的应用靠近目标地址扩展ACL，的应用靠近源地址网上资料：Cisco ACL原理及配置详解什么是ACL?访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

、1.访问控制列表的列表号指出了是那种协议的访问控制列表，各种协议有自己的访问控制列表，而每个协议的访问控制列表又分为标准访问控制列表和扩展访问控制列表，通过访问控制列表的列表号区别。

2.访问控制列表的语句顺讯决定了对数据包的控制顺序。

3.限制性语句应该放在访问控制列表的首行。

把限制性语句放在访问控制列表的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或者接近末行，可以防止出现诸如本该拒绝的数据包却被放过的情况。

3.最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

4.新的表项只能被添加到访问控制列表的末尾，这意味着不可能改变已有访问控制列表的功能。

如果必须改变，只能先删除原有访问控制列表，再重新创建、应用。

5.在访问控制列表应用到接口之前，一定要先建立访问控制列表。

首先在全局模式下建立访问控制列表，然后把它应用在接口的进口或者出口方向上。

在接口上应用一个不存在的访问控制列表是不可能的。

6.访问控制列表的语句不肯能被逐条的删除，只能一次性删除整个访问控制列表。

7.在访问控制列表的最后有一条隐含的“全部拒绝”的命令，所以在访问控制列表里一定要至少有一条“允许”的语句。

8.访问控制列表智能过滤通过路由器的数据包，不能过滤从路由器本身发出的数据包。

9.在路由选择进行以前，应用在接口进入方向的访问控制列表起作用。

10.在路由选择决定以后，应用在接口离开方向的访问控制列表起作用11.最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

12.默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一．标准访问列表：访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源网络、子网或主机的IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表只能检查数据包的原地址，使用的局限性大，但是配置简单，是最简单的ACL。

它的具体格式如下：access-list ACL号permit|deny host ip地址例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。

当然我们也可以用网段来表示，对某个网段进行过滤。

命令如下：access-list 10 deny 192.168.1.0 0.0.0.255通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。

为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

（1）通配符any为表示任何IP地址通过，网络管理员输入0.0.0.0；然后，还要指出访问控制列表将要忽略的任何值，相应的通配符掩码位是“1“（255.255.255.255）.此时，网络管理员可以使用缩写字“any”代替0.0.0.0 255.255.255.255例如：Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255等于Router(config)#access-list 1 permit any（2）通配符host若网络管理员想要与整个IP主机地址的所有位相匹配，可以使用缩写字“host”。