ACL訪問控制列表概念及經常使用命令

ACL訪問控制列表

1. ACL概述

（1）、ACL全稱訪問控制列表（Access Control List）。

（2）、基本原理：ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息（如源地址、目的地址、協議口、端口號等），根據預先定義好的規則對包進行過濾，從而達到控制的目的。

（3）ACL目的：限制網絡流量、提升網絡性能；提供對通訊流量的控制手段；提供網絡訪問的基本安全手段。

（4）、功能：網絡中的結點分爲資源結點和用戶結點兩大類，其中資源結點提供服務或數據，而用戶結點訪問資源結點所提供的服務與數據。ACL的主要功能就是一方面保護資源結點，阻止非法用戶對資源結點的訪問；另外一方面限制特定的用戶結點對資源結點的訪問權限

（5）、ACL的訪問順序
a、按照各語句在訪問列表的順序，順序查找，一旦找到了某一匹配條件，就結束匹配，再也不檢查後面的語句。

b、若是全部語句都沒有匹配，在默認狀況下，雖然看不到最後一行，但最後老是拒絕所有流量的。

經常使用的端口號及其功能

端口	協議	說明
21	FTP	FTP服務器所開放的控制端口
23	TELNET	用於遠程登陸，能夠遠程控制管理目標計算器
25	SMTP	SMTP服務器開放的端口，用於發送郵件
80	HTTP	超文本傳輸協議
110	POP3	用於郵件的接收
69	TFTP	簡單文本傳輸協議
111	RPC	遠程過程調用
123	NTP	網絡時間協議

端口	協議
443	HTTPS
143	IMAP
20	ssh
3389	遠程桌面
67	DHCP
68	DHCP

訪問控制列表（ACL）

（1）讀取第三層、第四層包頭信息
（2）根據預先定義好的規則對包進行過濾
（3）訪問控制列表利用（源地址、目的地址、源端口、目的端口）這4個元素定義的規則。

訪問控制列表在接口應用的方向

（1）出：已通過路由器的處理，正離開路由器接口的數據包
（2）入：已經達到路由器接口的數據包，將被路由器處理。

列表應用到接口的方向與數據方向有關。

訪問控制列表的處理過程

標準訪問控制列表

（1）基於源IP地址過濾數據包
（2）標準訪問控制列表的訪問控制列表號是1~99

建立ACL

Router(config)#access-list access-list-number {permint(容許數據包經過) | deny(拒絕數據包經過)} source [source-wildcard]

刪除ACL

Router(config)# no access-list access-list-number

應用實例

容許192.168.1.0/24和主機192.168.2.2的流量經過

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0

隱含的拒絕語句

Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255

關鍵字

host ：固定地址
any ：全部地址

將ACL應用於接口

Router(config)# ip access-group access-list-number {in | out}

在接口上取消ACL的應用

Router(config)# no ip access-group access-list-number {in | out }

擴展訪問控制列表

（1）基於源IP地址、目標IP地址、指定協議、端口和標誌來過濾數據包
（2）擴展訪問控制列表的訪問控制列表號是100~199

建立ACL

Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

刪除ACL

Router(config)# no access-list access-list-number

將ACL應用於接口

Router(config-if)# ip access-group access-list-number { in | out }

在接口上取消ACL的應用

Router(config-if)# no ip access-group access-list-number { in | out }

應用實例

Router(config-if)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config-if)# access-list 101 deny ip any any

Rouer(config-if)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-if)# access-list 101 permit ip any any

Router(config-if)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config-if)# access-list 101 permit ip any any

命名訪問控制列表

（1）命名訪問控制列表容許在標準和擴展訪問控制列表中使用名稱代替表號

建立ACL

Router(config-if)#  ip access-list { standard(標準命名ACL) | extended(擴展命名ACL)} access-list-name

配置標準命名ACL

Router(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [source-wildcard ]

配置標準命名ACL實例

只容許來自主機192.168.1.1/24的流量經過

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)#  deny any

更改ACL、又容許來自主機192.168.2.1/24的流量經過

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# 15 permit host 192.168.1.1   //添加序列號爲15的ACL語句

配置擴展命名ACL

Router(config-ext-nacl)# [ Sequence-Number ]  { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

配置擴展命名ACL

Router(config)# ip access-list extandard cisco
Router(config-ext-nacl)# deny  tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq  21
Router(config-ext-nacl)#permit ip any any

Sequence-Number 決定ACL語句在ACL列表中的位置

刪除整組ACL

Router(config)# no ip access-list { standard | extended ] access-list-name

刪除組中單一ACL語句

no Sequence-Number
no ACL 語句

建立ACL

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)#  end

刪除組中單一ACL語句

Router(config-stdnacl)#  no 10
或
Router(config-stdnacl)#  no permit host 192.168.1.1

將ACL應用於接口

Router(config-if)# ip  access-group access-list-name {in | out}

在接口上取消ACL的應用

Router(config-if)# no ip  access-group access-list-name {in | out}