第五讲访问控制列表的功能与基本配置

如何设置局域网的访问控制列表局域网（Local Area Network，LAN）是一个相对独立的网络环境，通常是在企业、学校或家庭中使用的。

为了保护局域网的安全性，访问控制列表（Access Control List，ACL）是一项非常重要的设置。

通过ACL，我们可以限制局域网中设备的访问权限，确保只有授权的设备可以进入网络。

本文将详细介绍如何设置局域网的访问控制列表，以帮助您增强网络的安全性。

一、了解访问控制列表的概念与作用访问控制列表是一种网络安全技术，用于控制网络资源访问的权限。

它可以根据特定的规则来限制或允许设备、用户或者应用程序对网络资源的访问。

访问控制列表的作用主要体现在以下两个方面：1.1 设备过滤：ACL可以根据设备的MAC地址、IP地址或其他特征信息，对设备的访问进行过滤，只允许特定的设备进入局域网。

1.2 服务控制：ACL可以根据设备或用户对特定服务（如Web访问、邮件服务等）的访问策略进行控制，确保只有授权的设备或用户能够使用。

二、设置局域网的访问控制列表要设置局域网的访问控制列表，我们可以采取以下步骤：2.1 确定访问控制策略：在设置ACL之前，需要明确访问控制的策略，即要允许哪些设备或用户进入网络，要限制哪些设备或用户的访问。

根据实际需求，可以制定具体的策略，例如只允许特定的MAC地址进入局域网。

2.2 配置ACL规则：根据策略进行ACL规则的配置。

ACL规则通常包括源地址、目标地址和许可或拒绝的动作。

2.3 应用ACL规则：将配置好的ACL规则应用到局域网的相关设备上，以生效。

2.4 监测和更新ACL：定期监测ACL的效果，对ACL规则进行必要的更新和优化，以保持网络的安全性。

三、常见的访问控制列表配置场景以下是几种常见的访问控制列表配置场景：3.1 基于MAC地址的ACL：通过指定允许或拒绝特定MAC地址的方式进行访问控制，适用于对设备进行细粒度控制的场景。

3.2 基于IP地址的ACL：通过指定允许或拒绝特定IP地址的方式进行访问控制，适用于对特定IP地址进行控制的场景。

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

1、访问控制列表的作用。

作用就是过滤实现安全性具网络可有管理性一、过滤，经过路由器的数据包二、控制增长的网络IP数据2、访问控制列表的分类及其特性。

一、标准列表只基于ip协议来工作，只能针对数据包种的源地址来做审核，由于无法确定具体的目的，所以在使用的过程中，应靠近目的地址，接口应为距目的地址最近的接口，方向为out。

访问控制别表具有方向性，是以路由器做参照物，来定义out或者inout：是在路由器处理完以后，才匹配的条目in：一进入路由器就匹配，匹配后在路由。

编号范围为：1-99二、扩展列表可以很据数据包中的源ip地址和目的ip地址及相应的应用协议来工作，在工作的过程中常用在距源或组源最近的路由器上，接口为距源最近的接口，方向为in，可以审核三层和四层的信息。

编号范围：100-199如何判断应使用哪种类型的访问控制列表标准：针对目的，允许或拒绝特定的源时，使用标准的（当目的唯一，具有多个源访问时。

）扩展：针对源地址，允许或拒绝源去往特定的目的。

或者在涉及四层信息的审核时通常都会采用扩展列表。

（当源确定下来，具有单个源可有多个目的地址时。

）编号的作用：a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有，使用拒绝列表时，必须有条允许语句。

2.访问列表按顺序自上而下逐条匹配，当匹配后立即执行，不会继续匹配。

3.具有严格限制的条目应该放在列表前。

4.删除列表不能有选择删除，若no access-list X 的一个条目，则这个列表被删除。

5.当别表没有被应用时,则是个无效的别表,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时，会返回给源一个不可达的icmp包，然后丢掉或过滤掉包8.访问列表在应用中，标准的应靠近目的，而扩展则靠近源或组源。

9.当路由器调用了一个没有条目的列表，则执行列表隐含条目，deny any （拒绝所有）10.在某个接口，某个方向上只能调用一个列表。

路由器使用技巧控制访问列表在如今数字化时代，互联网已经成为人们生活中不可或缺的一部分。

然而，随着互联网的普及和应用的广泛，保障网络安全变得尤为重要。

为了管理和控制网络的访问权限以及保护个人隐私，使用路由器成为了一种常见的解决方案。

本文将介绍一些路由器使用技巧，以帮助您更好地控制访问列表。

一、了解访问列表的基本概念访问列表（Access Control List，ACL）是一种管理网络流量的工具，通过规定允许或禁止某个特定IP地址或IP地址段进行网络访问。

在路由器上配置访问列表后，您可以控制设备对特定网站、应用或服务的访问权限，从而保护自己的网络安全和隐私。

二、设置访问控制策略1. 确定访问控制需求：首先，您需要明确自己的访问控制需求。

比如，您想要禁止某个特定IP地址的设备访问互联网，或者您只想允许特定IP地址范围的设备访问您的局域网。

明确需求后，可以更方便地配置访问控制列表。

2. 登录路由器管理界面：打开您的计算机浏览器，输入路由器的默认网关IP地址，并使用正确的用户名和密码登录路由器的管理界面。

3. 导航到访问控制设置：在管理界面中，找到“访问控制”或类似选项。

具体名称和位置可能因路由器品牌和型号而异，但通常会在安全设置或高级设置类别下。

4. 配置访问控制列表：根据您的需求，在访问控制设置页面中创建新的访问控制表项。

您可以设置允许或禁止特定的IP地址、IP地址段、端口号或MAC地址进行网络访问。

5. 保存并应用设置：在完成访问控制列表的配置后，记得点击保存或应用按钮，以使设置生效。

三、优化访问列表控制1. 定期更新访问列表：网络环境时刻在变化，新的威胁和安全漏洞也会不断出现。

因此，及时更新访问列表是保护网络安全的重要一环。

您可以根据实际需求，定期检查和修改访问控制列表，确保其与最新的网络威胁相适应。

2. 使用黑名单和白名单：黑名单和白名单是访问列表中常用的概念。

黑名单（Blacklist）是指禁止访问的清单，您可以将您不希望访问您网络的IP地址或特定应用添加到黑名单中。

访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签：控制列表配置职场休闲【网络环境】网络时代的高速发展，对网络的安全性也越来越高。

西安凌云高科技有限公司因为网络建设的扩展，因此便引入了访问控制列表(ACL)来进行控制，作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢？【网络目的】明白ACL访问控制列表的原理、以及正确的配置；按照网络拓扑图的要求来正确的连接设备。

创建访问控制列表来满足我们所定义的需求；【网络拓扑】【实验步骤】第一步：配置Router1的端口IP地址：（注意：在配置之前我们先要明白ACL访问控制列表的工作原理；ACL访问控制列表的原理是它是以包过滤技术，在路由器上读取OSI7层模型的第三层和第四层包头中的信息，根据自己预先定义好的规则，对包进行过滤，从而来达到访问控制的目的。

我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段？但是又怎么样才能让它们互相通信？根据拓扑图：我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类，AC L通过在接口路由器上接口出控制数据包是转发还是丢弃，来过滤通信流量。

路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是，从而来决定该数据包是转发还是丢弃！！！）第二步：配置Router2的端口IP地址：（注意：ACL访问控制列表分为最基本的两种，它们是标准访问控制列表和扩展访问控制列表：标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。

结果是基于源网络/子网/主机的IP地址，来决定该数据包是转发还是拒绝该数据包；它所使用1~99之间的数字作为表号。

扩展访问控制列表是对数据包的源地址和目的地址均进行检查，它也可以检查特定的协议、端口号以及其他的修改参数。

它所使用的是100~199之间的数字作为表号；我们在这里只对标准访问控制列表和扩展访问控制列表进行说明；还有一些例如：基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。