第七章控制访问列表和NAT1

路由器使用技巧控制访问列表在如今数字化时代，互联网已经成为人们生活中不可或缺的一部分。

然而，随着互联网的普及和应用的广泛，保障网络安全变得尤为重要。

为了管理和控制网络的访问权限以及保护个人隐私，使用路由器成为了一种常见的解决方案。

本文将介绍一些路由器使用技巧，以帮助您更好地控制访问列表。

一、了解访问列表的基本概念访问列表（Access Control List，ACL）是一种管理网络流量的工具，通过规定允许或禁止某个特定IP地址或IP地址段进行网络访问。

在路由器上配置访问列表后，您可以控制设备对特定网站、应用或服务的访问权限，从而保护自己的网络安全和隐私。

二、设置访问控制策略1. 确定访问控制需求：首先，您需要明确自己的访问控制需求。

比如，您想要禁止某个特定IP地址的设备访问互联网，或者您只想允许特定IP地址范围的设备访问您的局域网。

明确需求后，可以更方便地配置访问控制列表。

2. 登录路由器管理界面：打开您的计算机浏览器，输入路由器的默认网关IP地址，并使用正确的用户名和密码登录路由器的管理界面。

3. 导航到访问控制设置：在管理界面中，找到“访问控制”或类似选项。

具体名称和位置可能因路由器品牌和型号而异，但通常会在安全设置或高级设置类别下。

4. 配置访问控制列表：根据您的需求，在访问控制设置页面中创建新的访问控制表项。

您可以设置允许或禁止特定的IP地址、IP地址段、端口号或MAC地址进行网络访问。

5. 保存并应用设置：在完成访问控制列表的配置后，记得点击保存或应用按钮，以使设置生效。

三、优化访问列表控制1. 定期更新访问列表：网络环境时刻在变化，新的威胁和安全漏洞也会不断出现。

因此，及时更新访问列表是保护网络安全的重要一环。

您可以根据实际需求，定期检查和修改访问控制列表，确保其与最新的网络威胁相适应。

2. 使用黑名单和白名单：黑名单和白名单是访问列表中常用的概念。

黑名单（Blacklist）是指禁止访问的清单，您可以将您不希望访问您网络的IP地址或特定应用添加到黑名单中。

第十章访问控制列表配置教学目的：1.了解访问控制列表的作用2.了解标准访问控制列表与扩展访问列表的异同3.掌握访问控制列表的原理4.掌握访问列表的配置方法知识点：1.访问列表2.包过滤3.流量控制4.通配掩码10.1 访问控制列表(access-list)一、访问列表的作用访问控制列表是在使用路由技术的网络中，识别和过滤进入到网络或发出去的符合规定条件的数据流量，以决定是否允许发送或丢弃数据流量。

访问控制是控制流量的一种方法，是实现防火墙的重要手段。

二、访问列表的应用1.在物理接口上应用访问控制列表实现流量控制。

2.在虚拟终端线路接口(vty)应用访问控制列表，实现对登录用户的控制。

3.还可以应用到队列技术、按需拨号、VPN、NA T等。

三、访问列表的工作流程1.进方向上的工作流程：2.出方向上的工作流程：四、访问列表的控制条件根据IP数据包中包含的信息，可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。

五、访问列表执行流程访问控制列表实际上是一些列判断语句，被过滤的数据包会一个个和这些条件语句进行比较，当符合条件则执行操作(permit或deny )；否则进行下一条件判断。

六、注意事项1.访问控制列表的列表号指出是哪种协议的访问控制列表。

即每种协议(IP、IPX等)定义一个访问控制列表。

2.一个访问控制列表的配置是每协议、每接口、每方向的。

每种协议可以定义进出两个控制访问控制列表。

3.访问控制列表的顺序决定了对数据包控制顺序。

4.在访问控制列表最后，有一条隐含的“全部拒绝”命令，因此在控制列表里至少有一条“允许”语句。

5.访问控制列表只能过滤穿过路由器的数据流量，不能过滤路由器本身发出的数据包。

10.2 访问控制列表分类访问控制列表有两种类型：标准访问控制列表、扩展访问控制列表。

✓标准访问控制列表判断条件是数据包的源IP地址，只能过滤来自某个网络或主机的数据包。

访问控制列表AccessList路由器使用访问控制列表（ACL）来识别数据流，然后对其进行过滤、加密、分类或转换，以更好地管理和控制网络的功能。

标准访问列表：编号1-99或1300-1999，只检查分组的源地址，允许或禁止整个协议簇的分组通过。

扩展访问列表：编号100-199或2000-2699，检查分组的源地址、目标地址、协议、端口号和其他参数。

重点：1、入站访问列表的效率比出站访问列表高；2、路由器按顺序自上而下地处理访问列表中的语句；3、将具体条件放在一般性条件前，将常发生的条件放在不常发生的条件前；4、访问列表的最后有一条隐式的deny语句（access-list 1 deny any），分组将被禁止通过；5、新添的语句总被放在访问列表末尾，隐式的前面；6、使用编号访问列表时不能有选择性的删除其中一条语句，但使用名称访问列表可以（IOS11.2以上）；7、在每个接口的每个方向上针对每种协议的访问列表只能有一个，同一个接口上可以有多个访问列表，但必须是针对不同协议的。

等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务，其余主机可以：rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数，y为奇数时允许，其他拒绝：rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表：rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议（Routing Information Protocol）是一种距离矢量路由选择协议，使用跳数作为度量值来选择路径，最大跳数15跳，最多6条路径间负载均衡。

实验七 标准访问控制列表一、编号标准访问控制列表1．按图7-1将实验设备连接好。

图7-12．对PC 和路由器进行基本配置。

A. PC 机配置PC1的IP 地址为192.168.1.10，子网掩码为255.255.255.0，默认网关为192.168.1.1。

PC2的IP 地址为192.168.2.10，子网掩码为255.255.255.0，默认网关为192.168.2.1。

PC3的IP 地址为192.168.3.10，子网掩码为255.255.255.0，默认网关为192.168.3.1。

B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。

第7章：路由器及其配置考点1：路由器基础与基本命令考点2：接口配置、Pos接口配置考点3：访问控制列表考点4：静态路由、RIP协议、OSPF协议的配置考点5：路由器的DHCP配置7.1.1 路由器概述路由器是工作在网络层的设备。

路由器负责将数据分组从源端主机经最佳路径传送到目的端主机。

路由器主要用于同类或异类局域网以及局域网与广域网之间的互联。

是连接不同逻辑子网的网络互连设备。

路由器具有异构网络互连、广域网互连、和隔离广播信息的能力。

7.1.2 路由器工作原理一、路由器的基本功能1. 路由选择路由选择就是路由器依据目的IP地址的网络地址部分，通过路由选择算法确定一条从源结点到达目的结点最佳路由。

路由器通过路由协议、网络连接的情况及网络的性能来建立网络的拓结构。

路由算法为网络上的路由产生一个权值，路由器通过权值来选择最佳路由，权值越小，路由越佳。

2. 分组转发对于一台路由器，其分组转发的任务即是在收到数据包后，根据路由表所提供的最佳路径的信息，将其转发给下一跳的路由器、目的端口或是缺省路由器。

缺省路由也称为缺省网关，它是与主机在同一个子网中的路由器端口的IP地址。

路由器也有它的缺省网关。

如果目标网络没有直接显示在路由表里的时候，那么就将数据分组传送给缺省网关。

它一般指向与该路由器的一个端口的直接相连接的，并且通往Internet 的出口路由器。

2. 分组转发7.1 基础知识（09上、10下、13上）分组转发的思想：目的IP地址，全程不变。

目的MAC地址，逐跳修改。

【2009年3月】如下图所示，网络站点A发送数据包给站点B，当R1将数据包转发给R2时，被转发数据包中封装的目的IP地址和目的MAC地址是（）A、222.4.57.2 00-d0-02-85-cd-3fB、222.4.57.2 00-ff-2a-3a-4b-5bC、222.4.59.2 00-d0-02-85-cd-3fD、222.4.59.2 00-ff-2a-3a-4b-5b答案：C （P156）【2010年9月】下图是主机A发送的数据包通过路由器转发到主机B的过程示意图。

1、什么是访问控制列表？访问控制列表在Cisco IOS软件中是一个可选机制，可以配置成过滤器来控制数据包，以决定该数据包是继续向前传递到它的目的地还是丢弃。

2、为什么要使用访问控制列表？最初的网络只是连接有限的LAN和主机，随着路由器连接内部和外部的网络，加上互联网的普及，控制访问成为新的挑战，网络管理员面临两难的局面：如何拒绝不期望的访问而允许需要的访问？访问控制列表增加了在路由器接口上过滤数据包出入的灵活性，可以帮助管理员限制网络流量，也可以控制用户和设备对网络的使用，它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。

3、访问控制列表有哪些类型？访问控制列表主要可以分为以下两种：A、标准访问控制列表：标准访问控制列表只能够检查可被路由的数据包的源地址，根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许，使用的局限性大，其序列号范围是1-99。

B、扩展访问控制列表：扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址，同时还可以检查指定的协议、端口号和其他参数，具有配置灵活、精确控制的特点，其序列号的范围是100-199。

以上两种类型都可以基于序列号和命名来配置，我们建议使用命名来配置访问控制列表，这样在以后的修改中也是很方便的。

4、访问控制列表具有什么样的特点？A、它是判断语句，只有两种结果，要么是拒绝(deny),要么是允许(permit)；B、它按照由上而下的顺序处理列表中的语句；C、处理时，不匹配规则就一直向下查找，一旦找到匹配的语句就不再继续向下执行；D、在思科中默认隐藏有一条拒绝所有的语句，也就默认拒绝所有(any);由上面的特点可以总结出，访问控制列表中语句的顺序也是非常重要的，另外就是所配置的列表中必须有一条允许语句。

5、配置访问控制列表需要注意什么？A、访问控制列表只能过滤流经路由器的流量，对路由器自身发出的数据包不起作用。

B、一个访问控制列表中至少有一条允许语句。

路由器访问控制列表设置指南为了使家庭网络更加安全，许多人已经开始在家庭使用路由器的设备中添加访问控制。

这种方法可以控制网络上所使用的设备。

通过授权访问的设备可以按照其工作需要正常访问互联网，而无法访问该设备的设备则无法接入互联网。

然而，许多人对如何设置路由器的访问控制列表不是很清楚。

下面是一些有关路由器访问控制列表设置的指南。

1. 登录到路由器首先需要登录到你的路由器管理界面。

在浏览器中输入路由器的IP 地址，并输入管理员帐号和密码，就可以进入路由器的管理页面。

一般情况下，路由器的IP地址为192.168.1.1。

如果你不知道路由器的IP 地址，可以在路由器的说明书中找到。

2. 导航到访问控制列表页面在路由器管理页面中，找到“访问控制列表”选项。

根据不同的路由器型号，该选项的位置可能会有所不同。

你需要在路由器管理页面中查找菜单选项。

3. 启用访问控制启用访问控制功能前，需要找到“启用访问控制列表功能”的选项，并点击“启用访问控制列表”来开启该功能。

4. 添加设备添加设备的方式各个路由器的型号可能会略有不同。

在一些路由器中，您可以通过MAC地址来控制设备的数量。

您可以添加需要授权访问的设备的MAC地址，以便仅允许授权设备访问网络。

5. 授权或限制对设备的访问在添加设备后，就可以选择授权或限制该设备对互联网的访问权限。

您可以选择全天授权或在指定的时间段内授权，以便为授权设备设置更加严格的网络访问控制。

6. 保存设置并重启路由器在完成所有授权和限制操作后，可以保存设置并重新启动路由器，以使设置生效。

总结在家庭网络保护方面，配置路由器访问控制列表是一种聪明而重要的措施。

通过限制网络访问从而提高网络安全性，您能够确保家庭用户仅能使用授权的设备进行访问，从而保护您的设备和家庭网络的安全。

如果您的路由器只支持WPA / WPA2的加密，建议更换为支持WPA3加密的路由器，以获得更高级别的网络保护。

希望本篇文章对路由器访问控制列表的设置有所帮助。

ACLNATVPN协议ACL、NAT和VPN是网络中常用的三种协议。

本文将分别介绍ACL （Access Control List）访问控制列表，NAT（Network Address Translation）网络地址转换和VPN（Virtual Private Network）虚拟专用网络的相关概念和原理，并探讨它们在网络中的应用。

一、ACL协议1.ACL概述ACL（Access Control List）是一种用于网络设备的访问控制机制。

通过ACL，网络管理员可以根据预设的规则控制网络通信的权限。

ACL通常由访问控制表（ACL table）和访问控制表项（ACL entry）组成，其中访问控制表指定了处理ACL的规则，而访问控制表项指定了具体的访问控制规则。

2.ACL分类ACL可以分为两种类型：标准ACL和扩展ACL。

（1）标准ACL：标准ACL仅根据源IP地址来过滤数据包。

它通常用于控制特定源IP地址是否能够访问目标网络。

（2）扩展ACL：扩展ACL除了源IP地址外，还能根据目标IP地址、传输层协议、源/目标端口号等信息来进行过滤。

扩展ACL比标准ACL更加灵活。

3.ACL应用场景ACL可以在网络中实现以下功能：（1）网络访问控制：控制特定网络中的设备是否允许通信，限制网络资源的访问权限。

（2）安全策略：通过ACL可以限制网络流量，防止恶意攻击和网络入侵。

（3）QoS（Quality of Service）管理：ACL可以用于限制网络流量，保证关键应用的带宽需求。

二、NAT协议1.NAT概述NAT（Network Address Translation）是一种网络协议，用于在互联网和局域网之间进行IP地址转换。

NAT主要用于解决IPv4地址短缺的问题。

2.NAT工作原理NAT通过修改IP数据报的源地址和目标地址来实现地址转换。

具体工作原理如下：（1）出站数据：在数据包从内部网络发送到互联网时，NAT将内部网络的私有IP地址替换为公共IP地址。