ACL配置步骤

2、标准IPACL配置：
格式： access-list access-list-number {deny|permit}source-address[source-wildcard] access-list-number:ACL的号码(1-99) {deny|permit}：拒绝或允许 source-address：数据包的源地址，可以是某个网络、某个子网、某个主 机 [source-wildcard]：数据包的源地址的通配符掩码(0.0.0.255等)
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/0(Dec) S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3 Rt_B 173.16.1.1 F0/0
173.16.1.2 FTP server
1、路由器A的配置： Int e0 Ip address 172.16.1.1 255.255.255.0 No shutdown Exit Int s0 Ip addr 192.168.1.1 255.255.255.0 Clock rate 64000 No shutdown Exit Ip route 193.16.1.0 255.255.255.0 s0
四、ACL应用
8、用ACL来抵挡冲击波病毒 Access-list 110 deny udp any any eq 69 //禁止使用TFTP Access-list 110 deny tcp any any eq 135 //防止W32.Blaster病毒 Access-list 110 deny udp any any eq 135 //防止W32.Blaster病毒 Access-list 110 deny udp any any eq 137 //防止冲击波病毒 Access-list 110 deny udp any any eq 138 //防止冲击波病毒 Access-list 110 deny tcp any any eq 139 //防止冲击波病毒 Access-list 110 deny udp any any eq 139 //防止冲击波病毒 Access-list 110 deny tcp any any eq 445 //防止冲击波病毒 Access-list 110 deny tcp any any eq 593 //防止冲击波病毒 Access-list 110 deny tcp any any eq 4444 //防止远程访问 W32.Blaster病毒 Access-list 110 permit ip any any //允许其他的数据通过 Ip access-group 110 in //加入到设备的进站口 Ip access-group 110 out //加入到设备的出站口
Access-list 2 permit any Int e0
Ip access-group 2 out
四、ACL应用
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/0(Dec) S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3 Rt_B 173.16.1.1 F0/0
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/0(Dec) S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3
Rt_B
173.16.1.1 F0/0
173.16.1.2 FTP server
6、ACL应用实例4 拒绝主机172.16.1.2到FTP服务器173.16.1.2的FTP数据流量。本例中使 用的是扩展ACL，应当尽量地接近源网络，同时为了节省路由器的 CPU资源，最好将列表定义为进站表。在前面的例子中，删除B的E0 口上加载的ACL，然后到A进行配置 RouterA(config)#access-list 101 deny tcp host172.16.1.2 host173.16.2 eq 21 RouterA(config)#access-list 101 deny tcp host172.16.1.2 host173.16.2 eq 20 RouterA(config)#access-list 101 permit ip any any RouterA(config)#Int e0 RouterA(config-if)#ip access-group 101 in
四、ACL应用
Rt_A F0/1 172.16.1.1
192.168.1.1
S0/0(Dec) S0/1 192.168.1.2
Rt_B
173.16.1.1 F0/0
173.16.1.3 Web server 172.16.1.2 172.16.1.3
173.16.1.2 FTP server
2、路由器B的配置： Int e0 Ip addr 193.16.1.1 255.255.255.0 No shut Exit Int s0 Ip addr 192.168.1.2 255.255.255.0 No shut Exit Ip route 172.16.1.0 255.255.255.0 s0
在B路由器上启用debug ip packet来查看路由信息
利用show ip int e0命令显示e0端口的信息 利用show access-list命令显示访问控制表表的信息 利用no ip access-group 1 out命令删除对ACL的调用
四、ACL应用
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3 Rt_B 173.16.1.1
destination-address：源地址
三、TCP/IP访问控制列表的配置
4、命名IP访问控制列表：
用一个字符串来代替ACL的列表号，优点是便于管理，在IOS 11.2以上版
本才支持
格式：ip access-list{standard|extended}name 例：ip access-list standard systemlist
7、ACL采用命名访问列表的应用 例：RouterB(config)#ip access-list standard cisco //配置名 为cisco的列表 RouterB(config-std-nacl)#deny host 172.16.1.2 RouterB(config-std-nacl)#permit any RouterB(config-std-nacl)#Exit RouterB(config)#Int e0 RouterB(config-if)#ip access-group cisco out
173.16.1.2 FTP server
5、ACL应用实例3 例：只允许172.16.1.0网络中的172.16.1.3 telnet到路由器 B，同时对其他网络的主机不进行过滤操作 Line vty 0 4 Password cisco Access-class 2 in Login
四、ACL应用
B、路由器对通过ACL的数据包执行路由选择，路由表中没有目标地 址则丢包，有则转发
C、数据包到达路由器的出口时，路由器检查是否有出站ACL与此接
口相关联，没有直接把数据包转发，有则执行ACL
二、ACL的工作原理
2、ACL的执行顺序
ACL对每个数据包都是按照自上而下的顺序进行匹配。如果第一个匹 配则执行ACL，否则继续检测列表中的下一条语句
S0/0(Dec)
F0/0
4、ACL应用实例2
173.16.1.2 FTP server
例：只允许172.16.1.3主机访问173.16.1.0网络，同时不
允许172.16.1.0网络的其他任何主机访问 Access-list 2 permit host 172.16.1.3
Access-list 2 deny 172.16.1.0 0.0.0.255
三、TCP/IP访问控制列表的配置
1、IP访问控制列表可以分为以下两大类：
A、标准IPACL：只对数据包的源IP地址进行检查(号码范围为1-99) B、扩展IPACL：对数据包的源和目标IP地址、源和目标端口号等进行检 查，因此可以对FTP、TELNET、SNMP等协议进行控制(号码范围为100199)
5、调用IP访问控制列表
在路由器接口上调用列表时，还需要注意是进站还是出站 格式：ip access-group access-list-number{in/out}
还有一种调用是用来控制路由器虚拟终端的会话：
格式：access-class access-list-number{in/out}
四、ACL应用
四、ACL应用
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/0(Dec) S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3 Rt_B 173.16.1.1 F0/0
173.16.1.2 FTP server
例子：
例：只允许192.168.1.1通过，则表示成permit 192.168.1.1 0.0.0.0或者 用host来取代检查所有的位。(permit host 192.168.1.1) 例：只允许172.168.1.0通过，则表示成permit 172.168.1.0 0.0.0.255 例：不允许173.16.0.0通过，则表示成deny 173.16.0.0 0.0.255.255
3、ACL应用实例1 例：禁止172.16.1.2访问173.16.1.0网络的所有资源 (config)#Access-list 1 deny host 172.16.1.2 //拒绝主机172.16.1.2的访问， 是标准ACL (config)#access-list 1 permit any //允许其他主机访问 (config)#int e0 (config-if)#ip access-group 1 out //将访问控制列表1设置为出站列表
四、ACL应用
Rt_A F0/1 172.16.1.1 192.168.1.1 S0/0(Dec) S0/1 192.168.1.2 173.16.1.3 Web server 172.16.1.2 172.16.1.3 Rt_B 173.16.1.1 F0/0
173.16.1.2 FTP server
网络互联技术
计算机网络技术专业 2014.4
第七章 访问控制列表
教学目标：
1、ACL的概念 2、ACL的工作原理 3、ACL的配置 4、ACL的应用举例
职业技能教学点：
1、掌握ACL的标准配置格式 2、掌握ACL的扩展配置格式 3、能根据要求创建合理的ACL
一、ACL的作用

A、安全控制：允许一些符合匹配准则的数据包 通过路由器，而拒绝其他的数据包，从而为网络
提供安全访问的功能

B、流量过虑：可以拒绝一些不必要的数据包通
过网络，以提高带宽的利用变幻无常

C、流量标识：许多在路由器上的网络应用都要 依靠ACL才能完成任务，所以大多都要用到ACL
二、ACL的工作原理
1、路由器对数据包的处理情况
A、当收到数据包时，首先检查是否有进站访问控制列表与接口相关
联，如果没有正常进入，有则执行(允许或拒
3、隐式拒绝一切和显示允许一切
A、当一个数据包对所有语句都一匹配时，路由器自动丢包(路由器在
每人ACL后都自动加了拒绝一切的语句，即自动加入了deny any语句)
B、可以在ACL后面加permit any语句来显示允许一切数据包通过

二、ACL的工作原理
4、TCP/IP访问控制列表
A、TCP/IP访问控制列表对数据包的第三层和第四层信息进行检测 B、利用给定的一个网段进行比较
access-list-number：ACL号码，扩展IP的编号为100-199
protocol:数据包所采用的协议，它可以是IP、TCP、UDP、IGMP等 operator：指定逻辑操作：eq(等于)neq(不等于)gt(大于)lt(小于)range(范围)
port：指明被匹配的应用层端口，telnet为23、FTP为20和21
三、TCP/IP访问控制列表的配置
3、扩展IPACL配置：
格式：
access-list access-list-number {deny|permit}protocol
source-address source-wildcard [operator port] destination-address destination-wildcard [operator port][established][log]