Cisco访问控制列表

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表及动态访问控制列表杨振启（曲阜师范大学日照校区网络中心山东日照 276825）摘要：本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用，并分析了它们的优缺点。

关键词：路由器控制列表动态访问控制列表一访问控制列表1、概述：路由器是网络互联的主要设备，也是网络的前沿关口，如果路由器自身的安全都没有保障，那么整个网络便没有安全可言，因此，在网络管理上必须对路由器进行合理规划、配置，采取必要的安全保护措施，通常可以利用路由器访问控制列表功能，实现对网络的安全保护。

访问表（Access List）是一个有序的语句集。

它是基于将规则与报文进行匹配，用来允许或拒绝报文流的排序表。

用来允许或拒绝报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。

当报文到达路由器的接口时，路由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句，直到最后一条结束时仍没有匹配语句，则报文按缺省规则被拒绝。

整个过程如图1所示：图 12、举例：我们用一个例子具体说明访问控制列表的应用。

某单位用C类地址200.200.200.0/24 构造局域网，网络拓扑见图2。

整个网络采用TCP/IP协议。

用Cisco2621路由器经电信2M线线路与Internet互连，电信提供地址段100.100.100.0/28用于路由。

局域网中IP地址为200.200.200.11、219.218.28.12、219.218.28.13的服务器对内、对外提供Web，Ftp，E-mail服务，现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全，路由器参考配置文件如下：interface FastEthernet0/0ip address 200.200.200.1 255.255.255.0duplex autospeed auto!interface Serial0/0ip address 100.100.100.1 255.255.255.240ip access-group 100 inclockrate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 100.100.100.2no ip http server!access-list 100 permit tcp any gt 1023 host 200.200.200.11 eq www （允许用户访问WEB服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq smtp （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq pop3 （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp （允许用户访问FTP服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp-data （允许用户访问FTP服务器）access-list 100 permit tcp any 219.218.28.0 0.0.0.255 established （允许外部响应数据包返回）access-list 100 deny tcp any any eq telnet （禁止外部TELNET内网）access-list 100 deny icmp any any echo （禁止外部PING内网）access-list 100 deny icmp any any traceroute （禁止外部TRACEROUTE内网）access-list 100 deny ip 10.0.0.0 0.0.0.255 any （禁止非法地址访问内网）access-list 100 deny ip 172.16.0.0 0.15.255.255 any （禁止非法地址访问内网）access-list 100 deny ip 192.168.0.0 0.0.255.255 any （禁止非法地址访问内网）!voice-port 1/0/0!voice-port 1/0/1!voice-port 1/1/0!voice-port 1/1/1!dial-peer cor custom!!!!line con 0exec-timeout 0transport input noneline aux 0line vty 0 4!no scheduler allocateend图2二动态访问控制列表1、概述：局域网仅供内部使用时，如果没有与外部Internet相连的接口，这自然是非常安全的，但在特殊情况（如人员出差在外）希望访问内部网络资源时，便会非常困难。

交换机配置IP访问控制列表Cisco6509Console> (enable) set ip permit enableIP permit list enabled.Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet172.16.0.0 with mask 255.255.0.0 added to telnet permit list.Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp172.20.52.32 with mask 255.255.255.224 added to snmp permit list.Console> (enable) set ip permit 172.20.52.3 all172.20.52.3 added to IP permit list.Console> (enable) show ip permitTelnet permit list feature enabled.Snmp permit list feature enabled.Permit List Mask Access Type---------------- ---------------- -------------172.16.0.0 255.255.0.0 telnet172.20.52.3 snmp telnet172.20.52.32 255.255.255.224 snmpDenied IP Address Last Accessed Time Type Telnet Count SNMP Count----------------- ------------------ ------ ------------ ----------172.100.101.104 01/20/97,07:45:20 SNMP 14 1430172.187.206.222 01/21/97,14:23:05 Telnet 7 236Console> (enable)Console> (enable) set ip permit disable allConsole> (enable) clear ip permit 172.100.101.102172.100.101.102 cleared from IP permit list.Console> (enable) clear ip permit 172.160.161.0 255.255.192.0 snmp172.160.128.0 with mask 255.255.192.0 cleared from snmp permit list. Console> (enable) clear ip permit 172.100.101.102 telnet172.100.101.102 cleared from telnet permit list.Console> (enable) clear ip permit allIP permit list cleared.Console> (enable)思科C3550交换机配置作为DHCP服务器工程实例作DHCP服务器，因为当时在配置3550作为DHCP中继代理时顺便测试了一把将3550配置为DHCP服务器并获通过，因此这里将配置过程写出来，供大家参考。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。