ACL訪問控制列表——標準訪問控制列表（理論+實操）

ACL（access control list）訪問控制列表概述

• 訪問控制列表是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包能夠接收、哪些數據包須要拒絕。

• 訪問控制是網絡安全防範和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

經常使用的TCP端口號及其功能

端口	協議	說明
21	FTP	FTP服務器所開放的控制端口，20端口是ftp的數據鏈接，21端口是ftp的控制鏈接
23	TELNET	用於遠程登陸，能夠遠程控制管理目標計算機
25	SMTP	SMTP服務器開放的端口，用於發送郵件
80	HTTP	超文本傳輸協議，https 443安全
110	POP3	用於郵件的接受
143	IAMP	用於發送郵件
22	SSH	密文遠程登陸
68，67	DHCP	IP地址自動分配，客戶端請求用的67，服務器迴應用的68
53	DNS	域名解析
3389	RDP	遠程桌面

經常使用的UDP端口號及其功能

端口	協議	說明
69	TFTP	簡單文件傳輸協議
111	RPC	遠程過程調用
123	NTP	網絡時間協議

訪問控制列表基於三層（IP）和四層（端口，協議）進行過濾（應用防火牆，七層過濾）

• 讀取第三層，第四層包頭信息
• 根據預先定義好的規則對包進行過濾

訪問控制列表在接口應用的方向（與數據方向有關）

• 出：已通過路由器的處理，正離開路由器接口的數據包
• 入：已經到達路由器接口的數據包，將被路由器處理

訪問控制列表的處理過程

訪問控制列表的處理流程（自上而下，逐條匹配，默認隱含拒絕全部）

白名單
容許 1.2
容許 1.3
拒絕全部（能夠不寫）

黑名單
拒絕 1.2
拒絕 1.3
容許全部（必須寫）

標準訪問控制列表

• 基於源IP地址過濾數據包
• 標準訪問控制列表的訪問控制列表號1~99

擴展訪問控制列表

• 基於源IP地址，目的IP地址，指定協議，端口和標誌來過濾數據包
• 擴展訪問控制列表的訪問控制列表號是100~199

命名訪問控制列表

• 命名訪問控制列表容許在標準和擴展訪問控制列表中使用名稱代替表號

ACL配置命令

1，建立ACL

access-list access-list-number { permit | deny} source [source-wildcard ] 
//permit表示容許數據包經過 ,deny表示拒絕數據包經過 ,source [ source-wildcard ]只對源IP進行控制+(反子網掩碼)

示例

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
//容許192.168.1.0/24和主機192.168.2.2的流量經過

2，刪除ACL

no access-list access-list-number  //直接刪除ACL列表號

3，隱含的拒絕語句

access-list 1 deny 0.0.0.0 255.255.255.255  //拒絕全部ip

4，關鍵字

host  //host後面可跟ip地址,免去子網掩碼的輸入
any   //等同於拒絕全部ip

5，將ACL應用於接口

ip access-group access-list-number ｛in | out｝ 
//控制方最近的端口，in是進入out是輸出

6，在接口上取消ACL的應用

no ip access-group access-list-number {in | out}

ACL標準配置示例

需求

禁止192.168.10.2訪問pc3

雙擊配置sw交換機

sw#conf t    ##進入全局模式
sw(config)#no ip routing  ##關閉路由功能
sw(config)#int f1/0   ##進入接口f1/0
sw(config-if)#speed 100  ##由於和路由相連因此要配置雙工模式和速率
sw(config-if)#duplex full

雙擊配置R1路由

R1#conf t    ##全局模式
R1(config-if)#int f0/1                         
R1(config-if)#ip add 192.168.10.1 255.255.255.0  ##配置網關
R1(config-if)#no shut  ##開啓
R1(config-if)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0  ##配置網關
R1(config-if)#no shut  ##開啓

配置三臺pc機的ip地址及網關，測試可否相互ping通

PC1> ip 192.168.10.2 192.168.10.1 
PC2> ip 192.168.10.3 192.168.10.1
PC3> ip 192.168.20.2 192.168.20.1

打開R1配置訪問控制列表

R1#conf t    ##全局模式
R1(config)#access-list 1 deny host 192.168.10.2     ##禁止10.2訪問
R1(config)#access-list 1 permit any         ##容許全部（必須寫）   
R1(config)#do show access-list     ##查看訪問控制列表
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any
R1(config)#int f0/1
R1(config-if)#ip access-group 1 in  ##應用於接口f0/1

測試10.2的機器能不能訪問pc3

謝謝閱讀！！！