访问控制列表

cisco路由器配置ACL详解

如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL？

访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则

由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则

只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则

所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测

的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则

在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

分类：

标准访问控制列表

扩展访问控制列表

基于名称的访问控制列表

反向访问控制列表

基于时间的访问控制列表

标准访问列表：

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

标准访问控制列表的格式：

标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号permit|deny host ip地址

当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：0.0.0.255

。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为

小提示：对于标准访问控制列表来说，默认的命令是HOST，们输入host命令。

标准访问控制列表实例一：

环境介绍：

我们采用如图所示的网络结构。24网段中有一台

实例1：

路由器配置命令

access-list 1 permit ho

access-list 1 deny any设置ACL，阻止其他一切IP地址进行通讯传输。

int e 1进入E1端口。

ip access-group 1 in将ACL 1宣告。

小提示：由于默认添加了DENY ANY的语句在每个ACL中，所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。

标准访问控制列表实例二：

配置任务：他计算机可以正常访问。

配置命令：

access-list 1 permit any设置ACL，容许其他地址的计算机进行通讯

int e 1进入E1端口

ip access-group 1 in将ACL1宣告，同理可以进入E0端口后使用ip access-group 1 out来完成宣告。

总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。

扩展访问控制列表：

上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。

扩展访问控制列表的格式：

扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：access-list ACL号[permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

例如这句命令是将所有主机访问这个地址网页服务（WWW）TCP连接的数据包丢弃。

小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

扩展访问控制列表的实例：

环境介绍：