配置路由器的ACL访问控制列表

Router&Switch练习路由器的访问控制列表（ACL）实验一：HDLC和PPP封装1、实验目的：通过实验掌握访问控制列表（ACL）应用配置2、设备需求：Cisco 2514路由器三台，PC机3 台3、实验拓扑：试验目的：Pc1 所在网络不能访问R==2回环接口20.0.0.1 ，其余均可以出pc3所在网络的主机可以telnet路由器R==2 。

其余均不能4、配置步骤配置router1Router>Router>enableRouter#CON TRouter(config)#hostname r==1r==1(config)#interface serial 0r==1(config-if)#ip address 10.0.0.1 255.0.0.0r==1(config-if)#clock rate 9600r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#interface ethernet 0r==1(config-if)#ip address 192.168.1.1 255.255.255.0 r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#interface ethernet 1r==1(config-if)#ip address 192.168.2.1 255.255.255.0 r==1(config-if)#no shutdownr==1(config-if)#EXITr==1(config)#router eigrp 1r==1(config-router)#network 192.168.1.0r==1(config-router)#network 192.168.2.0r==1(config-router)#network 10.0.0.0r==1(config-router)#EXITr==1(config)#end配置router2Router>enableRouter#CON TRouter(config)#hostname r==2r==2(config)#interface serial 0r==2(config-if)#ip address 10.0.0.2 255.0.0.0 r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#interface loopback 0r==2(config-if)#ip address 20.0.0.1 255.0.0.0 r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#interface serial 1r==2(config-if)#ip address 30.0.0.1 255.0.0.0 r==2(config-if)#clock rate 64000r==2(config-if)#no shutdownr==2(config-if)#EXITr==2(config)#ROUr==2(config)#router eigrp 1r==2(config-router)#network 10.0.0.0r==2(config-router)#network 20.0.0.0r==2(config-router)#network 30.0.0.0r==2(config-router)#EXITr==2(config)#line vty 0 4r==2(config-line)#password yemar==2(config-line)#loginr==2(config)#access-list 1 deny 192.168.1.0 0.0.0.255r==2(config)#access-list 1 permit anyr==2(config)#interface serial 0r==2(config-if)#ip ar==2(config-if)#ip access-group 1 inr==2(config-if)#exitr==2(config)#access-list 2 permit 192.168.3.0 0.0.0.255 r==2(config)#line vty 0 4r==2(config-line)#access-class 2 inRouter3配置Router>enableRouter#CON TRouter(config)#hostname r==3r==3(config)#interface serial 1r==3(config-if)#ip address 30.0.0.2 255.0.0.0r==3(config-if)#no shutdownr==3(config-if)#EXITr==3(config)#interface ethernet 0r==3(config-if)#ip address 192.168.3.1 255.255.255.0r==3(config-if)#no shutdownr==3(config-if)#EXITr==3(config)#router eigrp 1r==3(config-router)#network 30.0.0.0r==3(config-router)#network 192.168.3.0r==3(config-router)#EXITr==3(config)#END5．分别各两台pc设IP与网关（略）6．根据实验目的测试（略）Pc1 所在网络不能访问R==2回环接口20.0.0.1 ，其余均可以出pc3所在网络的主机可以telnet路由器R==2 。

Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.0.0.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#no ip addressRouter(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.0.0.0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#ip address 10.1.1.254 255.0.0.0Router(config-if)#ip address 10.1.1.254 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#ip address 12.12.12.1 255.255.255.252Router(config-if)# ip route 192.168.1.0 255.255.255.0 12.12.12.2Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter# configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)# router ripRouter(config-router)# network 10.1.1.254Router(config-router)# network 12.12.12.1Router(config-router)#exitRouter(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80 Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq ?<0-65535> Port numberftp File Transfer Protocol (21)pop3 Post Office Protocol v3 (110)smtp Simple Mail Transport Protocol (25)telnet Telnet (23)www World Wide Web (HTTP, 80)Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21Router(config)#access-list 100 permit ip any anyRouter(config)# interface f0/0Router(config-if)# ip access-group 100 inRouter(config-if)#exitRouter(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter# writeBuilding configuration...[OK]Router#Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#enRouter#enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#Router0Router>enRouter#enableRouter#configure tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip route 192.168.1.0 255.255.255.0 12.12.12.2 //设置静态路由Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#router ripRouter(config-router)#network 10.1.1.0Router(config-router)#network 12.12.12.0Router(config-router)#exitRouter(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 80 Router(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 host 192.168.1.100 eq 21 Router(config)#access-list 100 permit ip any anyRouter(config)#interface f0/0Router(config-if)#ip access-group 100 inRouter(config-if)#exitRouter(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#writeBuilding configuration...Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#Router(config)#ip route 10.1.1.254 255.255.255.0 12.12.12.1Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#router ripRouter(config-router)#network 12.12.12.2Router(config-router)#network 192.168.1.254Router(config-router)#exitRouter(config)#Router(config-if)#ip address 12.12.12.2 255.0.0.0Router(config-if)#ip address 12.12.12.2 255.255.255.252Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter(config)#interface FastEthernet0/1Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Router(config-if)#ip address 192.168.1.254 255.255.255.0Router(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exitRouter(config)#interface FastEthernet0/0Router(config-if)#Router(config-if)#exitRouter>enableRouter#conf tRouter#conf terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line vty 04Router(config-line)#password 123Router(config-line)#loginRouter(config-line)#exitRouter(config)#enable password 123Router(config)#end%SYS-5-CONFIG_I: Configured from console by console Router#Router>enRouter>enablePassword:Router#configure terminalEnter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 ?deny Specify packets to rejectpermit Specify packets to forwardremark Access list entry commentRouter(config)#access-list 1 deny host 192.168.1.0Router(config)#access-list 1 permit anyRouter(config)#end%SYS-5-CONFIG_I: Configured from console by console Router#exitStandard IP access list 1deny host 192.168.1.0permit any Router#。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

ACL访问控制列表配置与优化ACL（Access Control List）访问控制列表是用于网络设备实现流量控制和网络安全的一种技术。

通过ACL，可以根据规则过滤和限制网络流量，以实现对网络资源的保护和管理。

本文将介绍ACL访问控制列表的配置和优化方法。

一、ACL基本概念ACL是一组用于控制网络流量的规则集合，它根据规则匹配和处理数据包。

ACL可以基于源IP地址、目的IP地址、传输层协议（如TCP或UDP）、传输层端口号等信息对数据包进行过滤和限制。

ACL规则由许多条目组成，每个条目包含一个或多个匹配条件和一个动作。

匹配条件可以根据需要自定义，动作决定如何处理匹配到的数据包，可以是允许通过、拒绝或执行其他操作。

二、ACL配置方法1. 确定访问控制目标：在配置ACL之前，需明确要保护的网络资源和限制的网络流量类型，以便针对性地配置ACL规则。

2. 创建ACL规则：根据网络资源的保护需求和限制要求，设置ACL规则。

可以使用命令行界面（CLI）或图形用户界面（GUI）进行配置。

3. 规则优先级：规则的顺序非常重要，ACL规则按照从上到下的顺序逐条匹配，匹配成功后立即执行相应的动作。

因此，应将最常见或最具限制性的规则放在前面。

4. 匹配条件：根据需要设置匹配条件，常见的条件有源IP地址、目的IP地址、传输层协议和端口号等。

更复杂的条件可结合使用。

5. 动作设置：根据匹配结果设置动作，可以是允许通过、拒绝或执行其他操作，如重定向、日志记录等。

6. 应用ACL：在需要进行流量控制和保护的设备上应用ACL配置，使其生效。

三、ACL优化方法1. 精简ACL规则：定期审查ACL规则，删除不必要的规则。

过多或冗余的规则会影响ACL匹配性能。

2. 规则合并：将具有相同动作和相似匹配条件的规则合并，减少规则数量，提高ACL处理效率。

3. 设置默认规则：通过设置默认规则，对未匹配到的数据包进行统一配置，避免未预期的情况。

详解路由器配置A C L控制列表文件编码（008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256）如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换设备上的配置方法与命令。

什么是A C L？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供A C L的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的A C L语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表ACL的配置与使用访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。

可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。

实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。

然后根据这些集合去匹配网络中的流量(由大量数据包组成),同时根据策略来“允许”或者“禁止”。

ACL的基本原理:1、ACL由若干条件,并按照一定的顺序而成,同时每个条件都对应了一个策略:允许或者禁止。

2、收到一个数据帧之后,ACL会按照从上到下的顺序逐一匹配:●一个条件不匹配就查看下一个;●任意一个条件匹配后就按照指定的策略执行,并跳出匹配;●所有条件都不匹配时,默认禁止,即deny。

根据条件描述的不同,我们通常可以将IP ACL分为基本型和扩展型两种。

其中基本型只能就数据包的源ip地址进行匹配;而扩展型ACL就可以对源IP、目的IP、协议号(判断tcp/udp/icmp等)、源端口号、目的端口号、QoS 参数(tos、precedence)等参数来进行定义,同时在匹配时,还可以根据路由器系统时间(time-range)来变化、还可以选择是否生成日志(log)等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:1、any,任意地址2、<net><mask>,指定ip网段3、src_range,指定ip地址范围配置模板:ip access-list standard <name> //建立一个标准型的ACL,名字自定{permit | deny} any{permit | deny} <network> <net-mask>{permit | deny} src_range <start-ip> <end-ip>例1:我们需要设置某局域网中只有192.168.1.0网段的用户能够上网(理论上有254个用户),那么应该是ip access-list standard testpermit 192.168.1.0 255.255.255.0deny any(隐含生效,无需配置)例2:我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网(理论上有79个用户),本网段的其他用户无法上网,那么应该是ip access-list standard testpermit src_range 192.168.1.2 192.168.1.80deny any(隐含生效)例3:我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止(财务禁止上网)(理论上有253个用户),那么应该是ip access-list standard testdeny 192.168.1.33 255.255.255.255permit 192.168.1.0 255.255.255.0deny any(隐含生效)注意:例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号(种类)这5种,这5种就可以用来满足绝大多数的应用。