访问控制列表

ACL访问控制列表 用途 ：是应用在路由器接口列表的一种路由策略（也可以说是定义的一种规则）这个列表中的内容就是告诉路由器，哪些数据包可以接收，哪些数据包不需要拒绝接收。 作用 ：1，访问控制 - 在路由器上流量进或出的接口上对流量进行特定的控制 2，定义感兴趣流量 - 为其他的各种路由策略匹配流量 访问控制 ：：定义ACL后，将列表调用于路由器的接口上，当流量通过接口时，进行匹配，匹配成功之后按之前设定好的动作进行处理即可 动作分为两种：允许、拒绝。 匹配规则 ：至上而下逐一匹配，上条匹配按上条执行，不行再看下一条：末尾隐含拒绝所有（如果末尾不自行定义规则的话，默认的是拒绝其他的所有路由条目通过此接口进行传输） 分类：1.标准 ACL-仅关注数据包中的源IP地址 2.扩展ACL-关注数据包中源、目IP地址、目标编号、协议号。 写法 ：编号写法 标准 扩展；100-199（这个数字文章后面再解释）删除其中一条整个表都会消失 命名写法 一个名字一张列表 可以随意的删除某一条 配置 ： 标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调用时尽量的靠近目标，避免误删； Router(config)#access-list 1 deny host 192.168.4.2 拒绝单一设备 Router(config)#access-list 1 deny 192.168.4.0 0

一、ACL概述 ACL (Access Control List,访问控制列表）是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据一定的规则进行，如源地址、目标地址、端口号等。ACL使得用户能够管理数据流，检测特定的数据包。 　　路由器将根据ACL中指定的条件，对经过路由器端口的数据包进行检査。ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进行过滤。ACL在路由器的 端口过滤 数据流，决定是否转发或者阻止数据包。ACL应该根据路由器的端口所允许的每个协议来制定，如果需要控制流经某个端口的所有数据流，就需要为该端口允许的每一个协议分别创建ACL。例如，如果端口被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建至少3个ACL, 本文中仅讨论IP的访问控制列表。针对IP协议，在路由器的每一个端口,可以创建两个ACL:—个用于过滤 进入 （inbound)端口的数据流，另一个用于过滤 流出 （outboimd)端口的数据流。 　　 顺序执行： —个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。当路由器在决定是否转发或者阻止数据包的时候，Cisco的IOS软件， 按照ACL中指令的顺序依次检査 数据包是否满足某一个指令条件。当

我们先来简单的讲解一下ACL访问控制列表，ACL的本质，是对流量进行分组的策略，对数据流进行直接控制，或者用作决策。在ACL的一般应用中通常用来过滤有风险的流量分组或者放行安全的流量分组，拥有非常高的灵活性。 ACL访问控制列表相当于一些列的if、else if语句，从上到下依次匹配，当匹配成功便执行ACL的操作，而不继续进行匹配，一致匹配到ACL列表的末尾，在每个ACL访问控制列表的末尾都有一条隐藏的deny all的选项，也就是说如果配置了ACL的话，一条数据流量若没有满足你配置的ACL中任何条目，它将被过滤掉，所以在通常情况下我们都会在ACL的最后加上一条permit any的语句，来放行没有匹配的流量。而且ACL只对穿过设备的流量进行控制，无法对设备产生的流量进行控制。 ACL共分为两类，标准访问控制列表（1-99）和扩展访问控制列表（100-199），在标准ACL中只将流量的源作为判定条件，所有策略均根据原IP地址来设计，在标准ACL中不能指定协议类型等具体项。扩展ACL能够判断第三层和第四层的网络协议数据包中的多种字段，如源与目的IP地址，端口号，协议种类等，能在标准ACL的基础上做出更细致更精准的策略。 使用ACL可以缓解多种安全威胁，如IP地址出入站欺骗，DDOS拒绝服务攻击

ACL的规则 1. 从上到下依次匹配 2. 一旦被某条ACL匹配，则停止查找 3. 依照上两条规则，ACL的精确或者严格规则写在最上面 4. 默认的ACL包含隐藏一条deny all ，即默认情况是拒绝所有数据 5.acl是作用在接口上的 ACL的类型 1. 标准ACL .检查源地址 .通常允许或拒绝整个协议簇 .编号范围1-99或者1300-1999 简单的说就是控制某个IP能不能上网 2. 扩展ACL .检查源地址和目的地址 通常允许或拒绝特定协议和应用程序 编号范围100-199 或者2000-2699 简单的说就是可以控制某个IP能不能访问QQ或者WEB或者MAIL 标准 ACL的命令语法 编号命名方法 1.允许某个网段或者主机数据流量，其他的均不可以 Router（confgi）#access-list 1 permit 172.16.0.0 0.0.255.255 //即acl编号为1的标准ACL，允许源IP 172.16.0.0/16位（反掩码）的IP数据通过 ，注意有一条隐式拒绝所有，所以目前是只允许172.16.0.0. //此条只是已经声明了ACL规则，但是还没有在接口下调用 Router（confgi）#int e0/0 Router（confgi）ip access-group 1 out //调用ACL规则，out代表出口 2.拒绝某个主机流量

华为-ACL访问控制列表 ACL：access list 访问控制列表 acl 两种： 基本acl（2000-2999）：只能匹配源ip地址。 高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。 四个注意事项： 注1：一个接口的同一个方向，只能调用一个acl 注2：一个acl里面可以有多个rule 规则，从上往下依次执行 注3：数据包一旦被某rule匹配，就不再继续向下匹配 注4: 用来做数据包访问控制时，默认隐含放过所有（华为设备） ACL 两种作用： ① 用来对数据包做访问控制（丢弃或者放行） ② 结合其他协议，用来匹配范围 华为-ACL访问控制列表 配置静态路由使全网互通： R1：ip route-static 172.16.10.0 24 12.1.1.2 R2：ip route-s 192.168.10.0 24 12.1.1.1 需求一：在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。 R2: acl number 2000 创建acl 2000 rule deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的流量 int gi 0/0/1 traffic-filter outbound acl 2000 接口下出方向调用acl 2000 inbound：进入方向

学习笔记：ACL访问控制列表（包过滤技术） 1.过滤点 2.ACL的分类 3.重难点 4.访问ACL原理 5.编写ACL的规则 6.命令 标准ACL命令 扩展ACL命令 其他命令 7.例题： 1.过滤点 主要过滤源ip地址，目的ip地址，目的端口号（源端口号每次随机生成无法确定） 2.ACL的分类 3.重难点 4.访问ACL原理 原理：来了数据包后严格按照自上而下匹配ACL表并执行规则 5.编写ACL的规则 6.命令 标准ACL命令 扩展ACL命令 其他命令 将ACL应用到接口上： int f0/0 ip access-group 表名 in/out 查看设备上的ACL表： show ip access-list [表号] 查看接口上是否应用了ACL表： show ip int f0/0 ACL表的命名配置 未使用命名时（标准和扩展）写法 使用命名后写法 7.例题： 先在记事本上按照需求写出访问控制列表 进入路由器全局模式配置ACL 全局配置模式下： acc 100 deny tcp host 192.168.1.1 host 192.168.3.1 eq 80 acc 100 permi tcp host 192.168.2.1 host 192.168.3.1 eq 80 acc 100 deny ip host 192.168.2.1 host 192.168.3.1 acc

1. ACL概述 （1）、ACL全称访问控制列表（Access Control List）。 （2）、基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、协议口、端口号等），根据预先定义好的规则对包进行过滤，从而达到控制的目的。 （3）ACL目的：限制网络流量、提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段。 （4）、功能：网络中的结点分为资源结点和用户结点两大类，其中资源结点提供服务或数据，而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点，阻止非法用户对资源结点的访问；另一方面限制特定的用户结点对资源结点的访问权限。 （5）、ACL的访问顺序 a、按照各语句在访问列表的顺序，顺序查找，一旦找到了某一匹配条件，就结束匹配，不再检查后面的语句。 b、如果所有语句都没有匹配，在默认情况下，虽然看不到最后一行，但最后总是拒绝全部流量的。 2. ACL的分类 （1） 标准ACL（表号取值范围1-99） 第一步：定义访问控制列表 命令格式：access-list access-list-number { permit |deny } source [source-wildcard] [log] 参数 参数描述 access-list-number 访问控制列表表号 permit | deny

ACL访问控制列表实验知识点： http://blog.csdn.net/qq_39414668/article/details/79532063 标准访问控制列表： 拓扑图： 实验步骤： 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上 enable configure terminal interface fa0/0 ip address 192.168.1.1 255.255.255.0 no shutdown interface fa0/1 ip address 192.168.3.2 255.255.255.0 no shutdown exit access-list 1 deny 192.168.1.2 interface fa0/1 ip access-group 1 out 扩展访问控制列表实验： 拓扑图： 实验步骤： 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上 enable configure terminal interface fa0/0 ip address 192.168.1.1 255.255.255.0 no shutdown interface fa0/1 ip address 192.168.3.2 255.255.255

ACL访问控制列表 ACL概述 （1）、ACL全称访问控制列表（Access Control List）。 （2）、基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息（如源地址、目的地址、协议口、端口号等），根据预先定义好的规则对包进行过滤，从而达到控制的目的。 （3）ACL目的：限制网络流量、提高网络性能；提供对通信流量的控制手段；提供网络访问的基本安全手段。 （4）、功能：网络中的结点分为资源结点和用户结点两大类，其中资源结点提供服务或数据，而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点，阻止非法用户对资源结点的访问；另一方面限制特定的用户结点对资源结点的访问权限 （5）、ACL的访问顺序 a、按照各语句在访问列表的顺序，顺序查找，一旦找到了某一匹配条件，就结束匹配，不再检查后面的语句。 b、如果所有语句都没有匹配，在默认情况下，虽然看不到最后一行，但最后总是拒绝全部流量的。 常用的端口号及其功能 端口 协议 说明 21 FTP FTP服务器所开放的控制端口 23 TELNET 用于远程登录，可以远程控制管理目标计算器 25 SMTP SMTP服务器开放的端口，用于发送邮件 80 HTTP 超文本传输协议 110 POP3 用于邮件的接收 69 TFTP 简单文本传输协议 111 RPC 远程过程调用 123 NTP

ACL：access list 访问控制列表 acl 两种： 基本acl（2000-2999）：只能匹配源ip地址。 高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。 四个注意事项： 注1：一个接口的同一个方向，只能调用一个acl 注2：一个acl里面可以有多个rule 规则，从上往下依次执行 注3：数据包一旦被某rule匹配，就不再继续向下匹配 注4: 用来做数据包访问控制时，默认隐含放过所有（华为设备） ACL 两种作用： ① 用来对数据包做访问控制（丢弃或者放行） ② 结合其他协议，用来匹配范围 配置静态路由使全网互通： R1：ip route-static 172.16.10.0 24 12.1.1.2 R2：ip route-s 192.168.10.0 24 12.1.1.1 需求一：在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。 R2: acl number 2000 创建acl 2000 rule deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的流量 int gi 0/0/1 traffic-filter outbound acl 2000 接口下出方向调用acl 2000 inbound：进入方向 站在路由器的角度考虑 数据包进入路由器“肚子