ACL(访问控制列表)的应用

ACL的应用

一、概述

属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。

现在可以应用在：

1、data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发

等操作（对象:数据包、数据帧）

2、control plan 对路由条目的匹配，对路由条目执行策略（路由条目）

二、理论以及命令

全局模式下：access-list

<1-99> IP标准访问控制列表

<100-199>IP扩展访问控制列表

<200-299>协议类型代码访问控制列表没有明确标准的应用的流量

<300-399>DECnet 访问控制列表

<700-799>48bit MAC地址访问控制列表

<1100-1199>扩展的48bit MAC地址访问控制列表

<1300-1999>IP标准访问控制列表

<2000-2699>IP扩展访问控制列表

这些包含了常见的IP的二层协议和三层协议

1、标准

只能匹配协议中的一个地址（源地址）

命令

access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0）掩码：/nn&x.x.x.x log/

例子access-list 1 permit 1.1.1.1

访问控制列表必须在某种技术环节下调用，否则不存在任何意义。一般调用在接口下，比较常用。

调用的时候有方向：in或者out

注意：每条访问控制列表后面都有一个隐式拒绝

一个编号的访问控制列表可以使用多行，默认一般都是以10 开始编号，间隔是10，最大是2147483647。一般认为无上限。

ACL书写的时候注意，是金字塔式的，从上到下，匹配的范围越来越大。因为ACL 一旦匹配，就会立即执行动作，不会放到后一条。

例子：first：deny 192.168.1.0

Second：permit 192.168.0.0

Third：deny 192.0.0.0

ACL使用反掩码（标识一个子网的范围）和通配符（不连续）确定所写的网段的路由范围

反掩码与通配符的不同，是通配符不用连续

例子：192.168.1.0 192.168.3.0 192.168.5.0 如何用通配符匹配

192.168.1.0 192.168.00000001.0

192.168.3.0 192.168.00000011.0

192.168.5.0 192.168.00000101.0

红位标注为不一致的地方，其他均为一致的地方，一致的地方使用0标识不一致的地方使用1标识，而且匹配IP地址最后的几个比特不做严格限制，最后结果是：

192.168.1.0（3.0、5.0都行最后默认都会变成1.0）0.0.6.255（通配符）

网络号是匹配路由的时候使用，IP是对数据包进行匹配

show ip access-lists 查询出匹配了多少包

clear ip access-lists counters [acl num]/

没加反掩码或者通配符的话，那么后面自动跟上0.0.0.0

如果先permit any 再permit 明细的话，会报错。扩展访问控制列表不会（因为有不同协议等）

2、扩展

可以匹配两个地址（源目的）、协议号、端口号等

扩展访问控制列表可以控制源和目的。

全局模式下：access-list 100 permit/deny/remark 协议/协议编号范围x.x.x.x （源地址）/any/host/object-group x.x.x.x（目的地址）/any/host/object-group 如果用的是IP协议最后还可以加上IP包头当中的不同字段

如果是TCP协议最后还可以加tcp包中的各种位

如果加上eq(等于)/gt(大于)/lt(小于) 可以匹配TCP端口号

如果在eq xx 后面还可以加某些端口下的特殊位

eq xx还可以放在源地址和目的地址之间。

如果eq xx 放在源地址后，匹配源端口；放在目的地址后匹配目的端口号

和标准访问控制列表一样需要调用。

3、访问控制列表调用

接口下调用：in/out

切记ACL不能控制本地始发流量，环回接口也是一样。ciscoIOS特性

如果想过滤始发流量：

第一种方法：route-map

第二种方法：service-policy

4、偏移列表

偏移列表（只能跟标准的）

offset-list x in/out x fx/x（进接口）

acl x 匹配的路由都会在原有的metric上加x

此时acl时需要注意匹配的写法需要和路由表中的显示的一样，如果不想保持一致，可以使用通配符匹配，例如：1.1.1.0 0.0.0.255

注意：标准访问控制列表只能匹配路由条目，扩展访问控制列表可以匹配条目和掩码。

5、前缀列表

特点：可以增量修改，比numberACL来讲删除一条整条就删除了，前缀列表可以单独删除活添加。

在IOS12.0以后的版本使用。

比ACL有性能的改进。如果ACL超过1000条以上，此时更改成前缀列表，那么可能消耗资源占用会降低70%-85%。

命令：

ip prefix-list xxx deny/permit/description/seq x.x.x.x/nn ge大于/le小于/

规则：len

在大部分IGP当中扩展访问控制列表不生效。应当使用标准访问控制列表。

列表中的序列号：可以将列表排序和动态单独删除、插入，前缀列表起始是5，间隙是5。

ip prefix-list sequence-number不起作用

前缀列表注意命名的时候不要使用s或者seq，因为有命令混淆。

6、命名访问控制列表

命令：ip access-list extended（扩展）/standard（标准）word/number permit/deny x.x.x.x等等与普通ACL一样

还可以在动作之间直接加上序号。但是都显示在末尾。

例如

为什么会这样，是因为这几个地址都是32位主机地址，互相不冲突就会添加到最后。

但如果形成冲突

例如：

这样的金字塔匹配，明显中间似乎少匹配了一个1.1.1.0

输入这样的命令：

R1(config)#ip access-list standard 1

R1(config-std-nacl)#11 permit 1.1.1.0 0.0.0.255

显示结果：

命名访问控制列表可以兼容号和名称，最好用名称。利于标记。

命名注意：

对于字母来讲：没有空格

对于数字来讲：开头如果就是数字，那么一直是数字。否则出错。如果都是数字不能与默认ACL的号冲突。类型需要匹配。

对于特殊字符来讲：不能作为开头，特殊的就是“？”如果想输入的话要同时按住ctrl+v松手输入“？”。注意带问号的命令可以敲，但是不可以复制，因为复制不上。

在acl进程下还有一些命令：

R1(config)#ip access-list standard aaa

R1(config-std-nacl)#?

Standard Access List configuration commands:

<1-2147483647> Sequence Number

default Set a command to its defaults 初始化命令

deny Specify packets to reject

exit Exit from access-list configuration mode

no Negate a command or set its defaults

permit Specify packets to forward

remark Access list entry comment 标记

在外面也有一些命令：

R1(config)#ip access-list ?

extended Extended Access List 扩展

helper Access List acts on helper-address 访问控制列表扮演帮助地址，只能做egress 上面的check（做出项检查，对目的地的过滤检查）log-update Control access list log updates 控制日志更新

R1(config)#ip access-list log-update threshold ?

<0-2147483647> Access list log-update threshold (number of hits)更新间隔的阀值匹配多少个包显示一次

logging Control access list logging 控制日志输入

R1(config)#ip access-list logging ?

hash-generation Enable syslog hash code generation 生成系统日志的hash代码

interval Set access list logging interval 达到了每x毫秒一个包的时候，产生一个log信息。范围0-2147483647

resequence Resequence Access List 重新排序

如果有个acl是这样：

需要在11和12之间插入4.4.0.0插入不进去，则需要重新排序。

R1(config)#ip access-list resequence xxx [starting sequence number]（起始号）[step to increment the sequence number]（间隔号）

比如输入：R1(config)#ip access-list resequence bbb 10 10

显示：

这样很显然就可以在30和40之间插入了。

standard Standard Access List

7、基于时间的访问控制列表

会有很多策略需要在某段时间内生效。比如中午午休，晚上加班等等。

GW(config)#ip access-list extended aaa

GW(config-ext-nacl)#permit ip host 12.1.1.1 any time-range OUT

启用acl aaa 关联上time-range 名字叫OUT，证明acl aaa中的那条acl只能在time-range OUT生效的情况下生效。

GW(config)#int e0/1

GW(config-if)#ip access-group aaa in 挂起在e0/1接口in方向

time-range配置：

GW(config)#time-range OUT

GW(config-time-range)#?

Time range configuration commands:

absolute absolute time and date

命令：

GW(config-time-range)#absolute ?

end ending time and date 结束时间，没有没有定义则永远生效

start starting time and date 开始时间，没有定义的话就是从现在开始，直到某一个时间点结束。

default Set a command to its defaults

exit Exit from time-range configuration mode

no Negate a command or set its defaults

periodic periodic time and date 周期性生效每x怎么怎么样

GW(config-time-range)#periodic ?

Friday Friday

Monday Monday

Saturday Saturday

Sunday Sunday

Thursday Thursday

Tuesday Tuesday

Wednesday Wednesday

daily Every day of the week 每天都生效

weekdays Monday thru Friday 工作日生效

weekend Saturday and Sunday 周末生效

命令：

GW(config-time-range)#periodic weekdays [Starting time] to [Ending time]

例子：GW(config-time-range)#periodic weekdays 12:00 to 13:00

时间范围：是从12:00:00到13:00:59

如果在内部机器更改本地时间的话对ACL无影响。但是更改GW的时间是有影响的。

GW#show ip access-lists

Extended IP access list aaa

10 permit ip host 12.1.1.1 any time-range OUT (inactive)如果是inactive是无效，如果是active是激活

GW#show time-range

time-range entry: OUT (inactive)

periodic weekdays 12:00 to 13:00

used in: IP ACL entry

标准访问控制列表是没有time-range这个选项。

8、动态访问控制列表

可以动态的区分服务的对象。

与Autocommand 命令结合使用

Autocommand例子：

line vty 0 4

login local

autocommand show ip int br

username 123 password 123

使用直连机器telnet这台设备输入用户名密码正确则会自动执行show ip int br 这条命令，并且自动退出线程。

注意某些命令需要15级，比如show run

联合dynamic acl 使用

line vty 0 4

autocommand access-enable

login local

username xxx privilege 15 password xxx

ip access-list extended aaa

permit tcp host x.x.x.x host x.x.x.x eq 23

dynamic xxx（不能与aaa相同）permit ip any any

然后再接口上挂载acl，如果不使用line vty 0 4 线程登录的话是不可能启用动态acl的。如果使用line vty 0 4线程登录的话，启用动态acl则可以启用acl中的内容。

GW#show ip access-lists

Extended IP access list aaa

10 permit tcp host 12.1.1.1 host 12.1.1.2 eq telnet (23 matches)

20 Dynamic bbb permit ip any any

permit ip any any (5 matches) 动态列表激活后会生成一个一摸一样的acl copy下来。

动态访问控制列表可以添加扩展访问控制列表后面的参数

还可以控制动态访问控制列表的存活时间。

GW(config-ext-nacl)#dynamic bbb timeout 1 permit ip any any

Timeout 是时间范文1-9999 以分钟计数。每telnet一次时间清零重新计数。

一个访问控制列表只能写一个dynamic，最好把所有的dynamic属性放在acl最后输入。

在vty 线程下使用autocommand access-enable host，做出谁telnet谁才能上网，不能一个人telnet成功所有人都能上了。

但是如果换成与认证成功的主机的ip，那么acl就检测不到了

只有扩展的访问控制列表才能支持。

命令：access-list dynamic-extended 将密钥超时时间延长到6分钟。

9、自反ACL

内部网络可以发送数据出去，但是一般从internet以外为源发起的数据进来的话可能会引起安全隐患。

但是如果在外网口做策略防止流量进入，那么就会把一些合法的数据流量阻止，比如，内网发起的连接，外网响应的数据回包。

自反ACL可以控制内部发起的连接的回包可以进来，其他的回包不可以。单用established缺点：

只能使用TCP，因为他匹配的就是TCP中的established位

黑客如果伪装，虽然不可以窃取数据，但是完全可以DOS攻击

自反使用三个ACL组成：

内网允许出去的acl

外网拒绝所有的acl

外网生成的返回数据的acl

第一条：

ip access-list extended aaa

permit ip any any reflect bbb

放过数据以后建立一个反向的acl叫做bbb，然后把这个acl挂在接入内网的接口上

ip access-list extended denyall

evaluate bbb 先行评估bbb

deny ip any any

此时从内ping外

此时从外ping内

此时再查看ACL

多出来一条acl ，超时时间是300s，使用命令可调

GW(config-ext-nacl)#permit ip any any reflect bbb timeout ?

<1-2147483> Maximum time to live in seconds

自反访问控制列表的缺点：

多端口号的业务，因为没有表项造成不能回来数据流。

10、ACL的LOG

如果在一个网络当中，某一台服务器收到了某一台PC的攻击，可以使用ACL的LOG属性很快的定位出是哪台机器发起的攻击。

类似于下图

R1、R2上使用换回接口1.1.1.1和2.2.2.2模拟PC

R3上利用换回接口4.4.4.4模拟server

那么其中的一台PC向4.4.4.4发起狂ping，那么我在R3上如何看到是那个IP给我发过来的攻击呢？可以使用ACL的LOG

使用标准acl的方法

access-list 1 permit any log

挂在进接口上

此时由2.2.2.2 ping 4.4.4.4 在R3上会显示

此时我们可以看出访问4.4.4.4的IP是2.2.2.2

但是为了防止日志刷屏，只显示出1个包的日志

如果想看看剩余的发包情况，可以直接no掉access-list 就会显示出剩余包的日志

局限性：只能基于any去做，因为标准访问控制列表是基于源来匹配的，并且只能精确到IP地址。

在使用DHCP网络中或者攻击者虚拟IP，那么就不能确定是真实的是哪台机器发起的攻击。

那么使用扩展访问控制列表：

access-list 100 permit ip any host 4.4.4.4 log/log-input

仅使用log的时候和标准访问控制列表一样，使用log-input的时候可以显示很多

access-list 100 permit ip any any 此条我觉得应该在真实环境下写，因为不写的话可能，只能放过对4.4.4.4的流量不能放过对其他的流量。但是对于本实验没有影响。

把着个acl挂在接口进方向上

可以得到信息：

显示出了使用什么协议访问，攻击者的ip，攻击者的MAC，攻击者的物理端口号。

Log loginput 默认5分钟提示一次结果

Logging rate-limit [num]限制debug的输出/all限制所有的信息/console只限制console消息

Terminal monitor

Terminal no monitor 关闭

11、ACL precedence（dscp在QOS中介绍）

如果在ACL中匹配了precedence的值，那么他会查询数据包的IP层字段中的TOS位。

access-list 100 permit ip any host 4.4.4.4 precedence 0

此命令是指匹配访问4.4.4.4，并且TOS=1的数据包

应当使用扩展ping

默认使用的precedence就是0 那么就会允许

如果把precedence的值设置为50

就不通了

12、ACL fragments

是否允许分片包的发送。

会检查DF位.

access-list 100 permit ip any host 4.4.4.4 fragments

检查所有访问4.4.4.4 的数据包flag offset位的值

如果FO>0则允许如果FO=0则不允许

挂在接口的进方向

不过如果是两台机器直连，类似于这样的拓扑

在f0/0下使用ip mtu 100 然后再R1上ping的时候大小用size关键字设置为400 那么这些ping包就会分片。但是依然是ping不通。

因为ping包的分片里面的第一个包FO=0其他的FO>1,那么导致FO=0的数据被去掉，包不完整，所以ping不通（个人理解）。

那么一般的来说在上网的路由器，会接受到很多很多分片的，不完整的包。类似于网关内部有一台webserver。那么可以在外网的接口使用deny语句把那些

分片的deny掉。

类似于这样的拓扑

只允许所有的人使用HTTP访问www server可以这么写：

access-list 100 permit tcp any host 171.16.23.1 eq 80

access-list 100 deny ip any any

如果想拒绝一些个分片包可以这么写：

access-list 101 deny ip any host 171.16.23.1 fragments

access-list 101 permit tcp any host 171.16.23.1 eq 80

access-list 101 deny ip any any

13、ACL option选项

IP数据包里面有OPTION选项，如果需要匹配OPTION选项的话需要在访问控制列表以后加上。

但是在新的IOS中有一个问题，当你写入的时候会提示一个错误

R3(config)#access-list 100 permit ip any host 4.4.4.4 option nsapa

% IP Option filtering is allowed on named ACLs only

在新的IOS中对于Option选项的匹配需要写在命名的ACL当中

R3(config)#ip access-list extended aaa

R3(config-ext-nacl)#permit ip any host 4.4.4.4 option nsapa

14、ACL remark

access-list 100 remark R1-2-R2-ICMP-DENY

access-list 100 deny icmp host 192.168.1.1 host 192.168.1.2

在show run 的时候可以查看，在每条ACL之前写上就可以了。

在show ip access-list里面没有

Show ip access-list 只能看IP access-list

Show access-list 什么都可以看

15、ACL rate-limit

使用它可以同时匹配多个做了TOS标记的值。原来使用一条acl匹配一种打标的流量，使用它就可以使用一条ACL匹配多种打标流量。

原来可以这样写

可以得到一条acl

R3(config)#access-list rate-limit 1 mask C0

C0如何得到的

TOS=1=00100000

TOS=2=01000000

TOS=3=01100000

三个数做与运算，计算出的八位组为11000000，他的十六进制为C0

R3#show access-lists rate-limit

Rate-limit access list 1

mask C0

16、ACL compiled

对访问控制列表的优化

TurboACL：加快ACL在系统中查询速度。

如果ACL的条目大概是12-18个，那么开不开turboACL没区别。

如果ACL的条目比12个还少，开了turboACL查询更慢

如果ACL的条目超过19个，开了turboACL大大加大查询速度。因为开了这个技术以后就会占用2.1M的内存。每2000条大约需要1M内存。会在开启的一瞬间扫描所有ACL，并添加标记。相当于做了二次缓存，那么就不按照以前的ACL条目查找，就按照turbo标记去查找。

Turbo有5个状态：

Operation 成功编译

Delete 空

Unsuitable 不能被编译，如：定时，反射

Building 正在编译

Out of memory 内存不足不能编译

如果标记成功只在成功编译和正在编译当中查找。

R3#show access-lists compiled 查看状态

【天津新盟教育CCNA课程内部材料】

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

Cisco ACL access-list 详解

ACL(Access Control List，访问控制列表) 技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0 /0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示： 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。 那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS 的ACL进行编写。 基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则： u 最小特权原则：只给受控对象完成任务所必须的最小的权限 u 最靠近受控对象原则：所有的网络层访问权限控制 局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

ACL访问控制列表配置要点

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

思科Cisco路由器access-list访问控制列表命令详解

思科Cisco路由器access-list访问控制列表命令详解 Post by mrchen, 2010-07-25, Views: 原创文章如转载，请注明：转载自冠威博客 [ https://www.360docs.net/doc/a010057539.html,/ ] 本文链接地址： https://www.360docs.net/doc/a010057539.html,/post/Cisconetwork/07/Cisco-access-list.html CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下： ---- access-list[list number][permit|deny][source address][address][wildcard mask][log] ---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list 这2个关键字之间必须有一个连字符"-"； 一、list nubmer参数 list number的范围在0～99之间，这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS，在0～99之间的数字指示出该访问列表和IP协议有关，所以list number参数具有双重功能: （1）定义访问列表的操作协议; （2）通知IOS在处理access-list语句时，把相同的list number参数作为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是通过list number（范围是100～199之间的数字）而表现其特点的。因此，当运用访问列表时，还需要补充如下重要的规则: 在需要创建访问列表的时候，需要选择适当的list number参数。 二、permit|deny 允许/拒绝数据包通过 ---- 在标准型IP访问列表中，使用permit语句可以使得和访问列表项目匹配的数据包通过接口，而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。

ACL知识点详解

第一节TCP/IP传输层与应用层TCP/IP OSI TCP/IP：网络访问层协议 1～3章 第7 章

TCP/IP：互联网络层协议 5～6章 Internet层的功能 10.20.30.2/24172.16.1.2/24172.31.255.2/24 ●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址，实现逻辑寻址。 ●能够建立网络与网络、主机与主机之间的连通性，但不保证数据传输的可靠性。

TCP/IP：传输层协议 ●传输控制协议（TCP） ?面向连接，每传输一个数 据分段，都建立一个连接 ?可靠的传输 ●用户数据报协议（UDP） ?无连接，将数据分段发送 出去后不确认对方是否已接 收到 ?不可靠，需要应用层协议 提供可靠性 TCP 与UDP 协议 ●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 ●TCP端口号范围为：0～65535 ●UDP端口号范围为：0～65535 ●传输层提供从源主机到目的主机的传输服务，在网络端点之间建立逻辑连接。 ●传输层TCP协议能够实现数据传输的可靠性。 ●传输层能够实现数据传输时的流控制。

主机之间的多会话 ●一台服务器可能提供多种服务，如Web和FTP ，在传输层用端口来区分每个应用服务。 ●客户端也需要向多个目的发送不同的数据连接，使用端口区分每个连接。 ●服务器使用知名端口号0～1023 提供服务。 ●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求，并为每一个连接分配不

TCP/IP：应用层协议 ●Web服务： HTTP ---TCP 80 号端口 ●文件传输服务： FTP ---TCP 20、21 号端口 TFTP ---UDP 69 号端口 ●电子邮件服务： SMTP ---TCP 25 号端口 POP3 ---TCP 110 号端口 IMAP4 ---TCP 143 号端口 ●域名服务： DNS ---TCP、UDP 53 号端口 ●远程登录： Telnet ---TCP 23 号端口 SSH ---TCP 22 号端口 ●网络管理： SNMP ---UDP 161 号端口 第二节访问控制列表 ?问题1 能否实现以下限制：除了老板以外，其他员工只能访问互联网Web、FTP和电子邮件等常用服务，拒绝BT、电驴、在线电影、网 络游戏甚至QQ、MSN等与工作 无关的数据。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

CISCO ACL配置详解

CISCO ACL配置详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为："自上而下，依次匹配".默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不

符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 一、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL. 它的具体格式： access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。 例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0. 小提示：对于标准访问控制列表来说，默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问列表配置实例： R1（config）#access-list 10 deny 192.168.2.0 0.0.0.255 R1（config）#access-list 10 permit any R1（config）#int fa0/0.1 R1（config-subif）#ip access-group 10 out

配置实现访问控制列表ACL

石河子大学信息科学与技术学院 网络工程实验报告 课题名称：配置实现访问控制列表ACL 学生姓名： 学号： 学院：信息科学与技术学院专业年级： 指导教师： 完成日期：2014年4月25日

一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法。 2、掌握使用show access-list，show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图，并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤，掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台，并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示：

2，PC0~PC2,server0,server1的IP配置： Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)

ACL知识点详解

A C L知识点详解 -标准化文件发布号：（9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

第一节TCP/IP传输层与应用层TCP/IP OSI TCP/IP：网络访问层协议 1～3章 第7 章

TCP/IP：互联网络层协议 5～6章 Internet层的功能 10.20.30.2/24172.16.1.2/24172.31.255.2/24 ●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址，实现逻辑寻址。 ●能够建立网络与网络、主机与主机之间的连通性，但不保证数据传输的可靠性。

TCP/IP：传输层协议 ●传输控制协议（TCP） ?面向连接，每传输一个数 据分段，都建立一个连接 ?可靠的传输 ●用户数据报协议（UDP） ?无连接，将数据分段发送 出去后不确认对方是否已接 收到 ?不可靠，需要应用层协议 提供可靠性 TCP 与UDP 协议 ●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。 ●TCP端口号范围为：0～65535 ●UDP端口号范围为：0～65535 ●传输层提供从源主机到目的主机的传输服务，在网络端点之间建立逻辑连接。 ●传输层TCP协议能够实现数据传输的可靠性。 ●传输层能够实现数据传输时的流控制。

主机之间的多会话 ●一台服务器可能提供多种服务，如Web和FTP ，在传输层用端口来区分每个应用服务。 ●客户端也需要向多个目的发送不同的数据连接，使用端口区分每个连接。 ●服务器使用知名端口号0～1023 提供服务。 ●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求，并为每一个连接分配不

H3C交换机典型(ACL)访问控制列表配置实例

H3C交换机典型（ACL）访问控制列表配置实例 一、组网需求： 2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器； 三、配置步骤： H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1．根据组网图，创建四个vlan，对应加入各个端口

system-view [H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 30 2 [H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]quit 3．定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day

需求1配置（基本ACL配置） 1．进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1] acl number 2000 3．在接口上应用2000号ACL 需求2 1．进入 [H3C] 2 3 4 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置（二层ACL配置） 1．进入4000号的二层访问控制列表视图 [H3C] acl number 4000 2．定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei

ACL详解

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet 连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。该网络的拓朴如下图所示： 自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。 那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则： 最小特权原则：只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则：所有的网络层访问权限控制 局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到end to end的权限控制目的，需要和系统级及应

配置路由器的ACL访问控制列表

在路由器上实现访问控制列表 试验描述： 实验目的和要求： 1.掌握在路由器上配置ACL的方法。 2.对路由器上已配置的ACL进行测试。 试验环境准备（GNS3）：3台路由器互联，拓扑图如下： 3. 试验任务：（1）配制标准访问控制列表；（2）配制扩展访问控制列表；（3）配制名称访问控制列表；（4）配制控制telnet访问。 4. 试验容：OSPF，ACL，telnet

试验步骤： 1.运行模拟器，按照如下拓扑图进行部署。 2.R2路由器的基本配置。 3.R2路由器的基本配置。 4.R2路由器的基本配置

5.R1 ping R2 6.R2 ping R3 7.R1 ping R3，要是能通就活见鬼了！ 8.现在在3台路由器上配置单区域OSPF，首先R1。

9.R2配置单区域OSPF。 10.R3配置单区域OSPF。 11.R3 ping R1，使用扩展ping的方式。应该可以ping通了。

12.R1ping R3，使用扩展ping的方式。应该可以ping通了。 13.在路由器R3上查看路由表时发现了一个10.1.1.1/32的主机地址条目，带有32位掩码。 这种情况最好加以避免，因为一旦在一个网络里路由器上所有的条目都出现在路由表上的话，路由器将使用大量的资源处理这些条目，太浪费了。本试验中，这个主机条目的出现是因为R1使用了一个loopback接口，虽然是逻辑接口，如果在OSPF路由器上使用这种接口，其它运行OSPF的路由器学习到这个路由器的时候就会显示出一个主机条目。消除这一现象可以通过将该网络设置为点到点即可。分别在R1和R3上设置。 14.R1设置点到点。

详解cisco访问控制列表ACL

详解cisco访问控制列表ACL 一：访问控制列表概述 〃访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。 〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。 〃实际应用：阻止某个网段访问服务器。 阻止A网段访问B网段，但B网段可以访问A网段。 禁止某些端口进入网络，可达到安全性。 二：标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置： router（config）#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router（config）#access-list表号 permit（允许） any 注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。 router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 （每当数据进入路由器的每口接口下，都会进行以下进程。） 注：当配置访问控制列表时，顺序很重要。要确保按照从具体到普遍的次序来排列条目。

ACL访问控制列表

ACL访问控制列表 Acl通常有两种，一种为标准的，一种有扩展的。 H3C标准ACL的序号为2000-2999 扩展的ACL序号为3000-3999 [RT1]firewall enable --开启防火墙功能 [RT1]acl num 2000 --写标准的ACL。（2000-2999） [RT1-acl-basic-2000]rule 0 deny source 1.1.1.0 0.0.0.255 --匹配源地址 [RT1-GigabitEthernet0/0/0]firewall packet-filter 2000 inbound --在入接口调用 [RT2]ip route-static 0.0.0.0 0.0.0.0 12.1.1.1 --加个默认路由，保证包能回来。 接下来我们更改ACL的写法，达到同样的目的！ 首先将firewall默认的最后一条语句改为deny. [RT1]firewall default deny [RT1]acl num 2000 [RT1-acl-basic-2000]rule permit source 2.2.2.10 0 [RT1-acl-basic-2000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 2000 outbound 因为acl的匹配原则为从上到下依次匹配，匹配到了就执行选项，deny或者是permit。在ACL，最后有一条隐含的语句。默认是permit any。可以更改！

下面写ACL，要求达到PC2可以Ping通R2。但是R2不能Ping通PC2。这个就需要运行扩展的ACL。 [RT1]acl number 3000 [RT1-acl-adv-3000]rule 0 deny icmp icmp-type echo source 12.1.1.2 0 destination 2.2.2.10 0 [RT1-acl-adv-3000]int g0/0/2 [RT1-GigabitEthernet0/0/2]firewall packet-filter 3000 inbound 验证一下实验结果; 要求，R1可以telnet到R3上，但是R1不能够Ping通R3。 R2： [RT2]firewall enable [RT2]acl num 3000 [RT2-acl-adv-3000]rule 0 permit tcp source 12.1.1.1 0 destination 23.2.2.3 0 destination-port eq 23 [RT2-acl-adv-3000]rule 5 deny icmp source 12.1.1.1 0 destination 23.2.2.3 0 [RT2-acl-adv-3000]int g0/0/1 [RT2-GigabitEthernet0/0/1]firewall packet-filter 3000 outbound 接下来在R3上开启telnet服务 [RT3]telnet server enable % Start Telnet server [RT3]user-interface vty 0 3 [RT3-ui-vty0-3]authentication-mode none [RT3-ui-vty0-3]quit

Cisco访问控制列表

C i s c o访问控制列表 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL

访问控制列表实验.详解

实验报告如有雷同，雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表（ACL）实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图，注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为和）。 【实验原理】 基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选 项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在 此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生 效，其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效，一般需要下面的配置步骤。 （1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装和和配置路由器。 （3）在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U，下载安装后见如下界面。 先新建域：