Cisco访问控制列表

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

Cisco路由器配置ACL详解之扩展访问控制列表Cisco路由器配置ACL详解之扩展访问控制列表扩展访问控制列表：上⾯我们提到的标准访问控制列表是基于IP地址进⾏过滤的，是最简单的ACL。

那么如果我们希望将过滤细到端⼝怎么办呢？或者希望对数据包的⽬的地址进⾏过滤。

这时候就需要使⽤扩展访问控制列表了。

使⽤扩展IP访问列表可以有效的容许⽤户访问物理LAN⽽并不容许他使⽤某个特定服务（例如WWW，FTP等）。

扩展访问控制列表使⽤的ACL号为100到199。

扩展访问控制列表的格式：扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下：access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝]例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

⽹络环境介绍：我们采⽤如图所⽰的⽹络结构。

路由器连接了⼆个⽹段，分别为172.16.4.0/24,172.16.3.0/24。

在172.16.4.0/24⽹段中有⼀台服务器提供WWW服务，IP地址为172.16.4.13。

配置任务：禁⽌172.16.3.0的计算机访问172.16.4.0的计算机，包括那台服务器，不过惟独可配置任务：以访问172.16.4.13上的WWW服务，⽽其他服务不能访问。

路由器配置命令：access-list 101 permit tcp any 172.16.4.13 0.0.0.0 eq www 设置ACL101，容许源地址为任意IP，⽬的地址为172.16.4.13主机的80端⼝即WWW服务。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表1、访问控制列表的概念访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。

访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。

路由器一个一个地检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定路由器接收或拒收该包。

2、ACL的作用1）ACL可以限制网络流量、提高网络性能。

2）ACL提供对通信流量的控制手段。

3）ACL是提供网络安全访问的基本手段。

4）ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

3、ACL的分类ACL包括两种类型:1)标准访问列表：只检查包的源地址。

2)扩展访问列表：既检查包的源地址，也检查包的目的地址，也可以检查特殊的协议类型、端口以及其他参数，具有更大的自由度。

4、ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。

如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

5、ACL的取值范围在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，下表指出了每种协议所允许的合法表号的取值范围。

6、正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。

然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

1）标准ACL要尽量靠近目的端。

2）扩展ACL要尽量靠近源端。

7、ACL的配置ACL的配置分为两个步骤：1）第一步:在全局配置模式下，使用下列命令创建ACL：Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中，access-list-number为ACL的表号。

访问控制列表及动态访问控制列表杨振启（曲阜师范大学日照校区网络中心山东日照 276825）摘要：本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用，并分析了它们的优缺点。

关键词：路由器控制列表动态访问控制列表一访问控制列表1、概述：路由器是网络互联的主要设备，也是网络的前沿关口，如果路由器自身的安全都没有保障，那么整个网络便没有安全可言，因此，在网络管理上必须对路由器进行合理规划、配置，采取必要的安全保护措施，通常可以利用路由器访问控制列表功能，实现对网络的安全保护。

访问表（Access List）是一个有序的语句集。

它是基于将规则与报文进行匹配，用来允许或拒绝报文流的排序表。

用来允许或拒绝报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。

当报文到达路由器的接口时，路由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句，直到最后一条结束时仍没有匹配语句，则报文按缺省规则被拒绝。

整个过程如图1所示：图 12、举例：我们用一个例子具体说明访问控制列表的应用。

某单位用C类地址200.200.200.0/24 构造局域网，网络拓扑见图2。

整个网络采用TCP/IP协议。

用Cisco2621路由器经电信2M线线路与Internet互连，电信提供地址段100.100.100.0/28用于路由。

局域网中IP地址为200.200.200.11、219.218.28.12、219.218.28.13的服务器对内、对外提供Web，Ftp，E-mail服务，现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全，路由器参考配置文件如下：interface FastEthernet0/0ip address 200.200.200.1 255.255.255.0duplex autospeed auto!interface Serial0/0ip address 100.100.100.1 255.255.255.240ip access-group 100 inclockrate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 100.100.100.2no ip http server!access-list 100 permit tcp any gt 1023 host 200.200.200.11 eq www （允许用户访问WEB服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq smtp （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq pop3 （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp （允许用户访问FTP服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp-data （允许用户访问FTP服务器）access-list 100 permit tcp any 219.218.28.0 0.0.0.255 established （允许外部响应数据包返回）access-list 100 deny tcp any any eq telnet （禁止外部TELNET内网）access-list 100 deny icmp any any echo （禁止外部PING内网）access-list 100 deny icmp any any traceroute （禁止外部TRACEROUTE内网）access-list 100 deny ip 10.0.0.0 0.0.0.255 any （禁止非法地址访问内网）access-list 100 deny ip 172.16.0.0 0.15.255.255 any （禁止非法地址访问内网）access-list 100 deny ip 192.168.0.0 0.0.255.255 any （禁止非法地址访问内网）!voice-port 1/0/0!voice-port 1/0/1!voice-port 1/1/0!voice-port 1/1/1!dial-peer cor custom!!!!line con 0exec-timeout 0transport input noneline aux 0line vty 0 4!no scheduler allocateend图2二动态访问控制列表1、概述：局域网仅供内部使用时，如果没有与外部Internet相连的接口，这自然是非常安全的，但在特殊情况（如人员出差在外）希望访问内部网络资源时，便会非常困难。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。