ACL 訪問控制列表

一、ACL：?Access control list（路由器，三層交換），訪問控制列表。 包過濾防火墻

二、類型:

標(biāo)準(zhǔn)訪問控制列表(基礎(chǔ))

• 基于源IP地址過濾數(shù)據(jù)包

• 標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號是1~ 99

擴(kuò)展訪問控制列表(基礎(chǔ))

• 基于源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志來過濾數(shù)據(jù)包

• 擴(kuò)展訪問控制列表的訪問控制列表號是100 ~ 199

命名訪問控制列表(更為靈活)

• 命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名稱代替表號

三、過濾層：

訪問控制列表基于:三層(IP) 和四層(端口，協(xié)議)進(jìn)行過濾所有防火墻都基于這三層過濾。除應(yīng)用防火墻為七層過濾

四、概述：

訪問控制列表(ACL)

• 讀取第三層、第四層包頭信息

• 根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾

五、工作原理

1、訪問控制列表在接口應(yīng)用的方向

• 出:已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包

• 入:已到達(dá)路由器接口的數(shù)據(jù)包，將被路由器處理

（列表應(yīng)用到接口的方向與數(shù)據(jù)方向有關(guān)）

2、訪問控制列表的處理過程

六、黑白名單：

白名單: (不寫則拒絕所有)

例：允許1.2網(wǎng)段，

? ? ? ?允許1.3

黑名單:(允許所有必須寫)

例：拒絕 1.2

? ? ? ?拒絕 1.3

不允許則為默認(rèn)拒絕。所以必須允許所有然后設(shè)置拒絕網(wǎng)段

ACL規(guī)則:自上而下逐行匹配默認(rèn)隱含拒絕所有。

七：標(biāo)準(zhǔn)訪問控制列表的配置（基于源IP進(jìn)行控制）

創(chuàng)建ACL

Router(config)#access-list?access-list-number?{?permit?|?deny?}?source?[?source-wildcard?]

刪除ACL

Router(config)#?no?access-list?access-list-number

應(yīng)用實例

允許192.168.10/24和主機(jī)92.168 2. 2的流量通過

Router(config)#?access-list?1?permit?192.168.1.0?0.0.0.255
Router(config)#?access-list?1?permit?192.168.2.2?0.0.0.0

隱含的拒絕語句

Router(config)#?access-list?1?deny?0.0.0.0?255.255.255.255

?關(guān)鍵字：? host、any

將ACL應(yīng)用于接口

Router(config-if)#?ip?access-group?access-list-number?{in?|out}

在接口.上取消ACL的應(yīng)用

Router(config-if)#?no?ip?access-group?access-list-number?{in?|out}

實驗要求：禁止pc1訪問pc3，允許pc2訪問pc3

實驗拓補(bǔ)圖：

實驗步驟：

1、配置交換機(jī)（sw），關(guān)閉路由功能，進(jìn)入全局模式，進(jìn)入f1/0接口，進(jìn)行雙工速率匹配（三層交換上才能做ACL）

sw#conf?t?????????????????????????????進(jìn)入全局模式
sw(config)#no?ip?routing??????????????關(guān)閉路由功能
sw(config)#int?f1/0???????????????????進(jìn)入接口f1/0
sw(?config-if)#speed?100??????????????雙工速率匹配
sw(config-if)#dup?full

2、配置路由器（R1），配置接口f0/0和f0/1的IP地址

R1#conf?t
R1(config)#int?f0/0
R1(config-if)#ip?add?192.168.10.1?255.255.255.0
R1(config-if)#no?shut
R1(config-if)#int?f0/1
R1(conf1g-if)#ip?add?192.168.20.1?255.255.255.0
R1(config-if)#no?shut
R1(config-if)?#

3、給三臺pc機(jī)配置IP地址，測試是否可以互聯(lián)互通

PC1>?ip?192.168.10.2?192.168.10.1????//配置pc1IP地址
PC2>?ip?192.168.10.3?192.168.10.1????//配置PC2IP地址
PC3>?ip?192.168.20.2?192.168.10.1????//配置PC3IP地址
PC1>?ping?192.168.20.2???????????????//用pc1?ping?pc3
PC2>?ping?192.168.20.2???????????????//用pc2?ping?pc3

4、R1配置ACL訪問控制列表，拒絕pc1訪問，允許pc2訪問，將ACL應(yīng)用于接口

access-list?1?deny?192.168.10.2?0.0.0.0??????拒絕pc1訪問
access-list?1?deny?host?192.168.10.2
access-list?1?permit?any?????????????????????允許pc2訪問
do?show?access-list??????????????????????????查看訪問列表
ip?access-group?1?in?????????????????????????將ACL應(yīng)用于接口

兩種方法都可以

5、pc1去ping pc3，pc2去ping pc3，測試ACL配置結(jié)果

八、擴(kuò)展訪問列表：

創(chuàng)建ACL

Router(config)#?access-list?access-list-number?{?permit?|?deny?}protocol?{?source?source-wildcard?destination?destination-wildcard?}
[?operator?operan?]

刪除ACL

Router(config)#?no?access?-list?access-list-number

將ACL應(yīng)用于接口

Router(config-if)#?ip?access-group?access-list-number?{in?|out}

在接口.上取消ACL的應(yīng)用

Router(config-if)#?no?ip?access-group?access-list-number?{in?|out}

應(yīng)用實例

Router(config)#?access-list?101?permit?ip?192.168.1.0?0.0.0.255
192.168.2.0?0.0.0.255
Router(config)#?access-list?101?deny?ip?any?any