ACL常用命令及工作原理

ACL常⽤命令及⼯作原理
What
ACL 是⼀系列 IOS 命令，根据数据包报头中找到的信息来控制路由器应该转发还是应该丢弃数据包。

ACL 是思科 IOS 软件中最常⽤的功能之⼀。

在配置后，ACL 将执⾏以下任务：
限制⽹络流量以提⾼⽹络性能。

例如，如果公司政策不允许在⽹络中传输视频流量，那么就应该配置和应⽤ ACL 以阻⽌视频流量。

这可以显著降低⽹络负载并提⾼⽹络性能。

提供流量控制。

ACL 可以限制路由更新的传输，从⽽确保更新都来⾃⼀个已知的来源。

提供基本的⽹络访问安全性。

ACL 可以允许⼀台主机访问部分⽹络，同时阻⽌其他主机访问同⼀区域。

例如，“⼈⼒资源”⽹络仅限授权⽤户进⾏访问。

根据流量类型过滤流量。

例如，ACL 可以允许邮件流量，但阻⽌所有 Telnet 流量。

屏蔽主机以允许或拒绝对⽹络服务的访问。

ACL 可以允许或拒绝⽤户访问特定⽂件类型，例如 FTP 或 HTTP。

默认情况下，路由器并未配置 ACL；因此，路由器不会默认过滤流量。

进⼊路由器的流量仅根据路由表内的信息进⾏路由。

但是，当 ACL 应⽤于接⼝时，路由器会在⽹络数据包通过接⼝时执⾏另⼀项评估所有⽹络数据包的任务，以确定是否可以转发数据包。

除了允许或拒绝流量外，ACL 还可⽤于选择需要以其他⽅式进⾏分析、转发或处理的流量类型。

例如，ACL 可⽤于对流量进⾏分类，以实现按优先级处理流量的功能。

此功能与⾳乐会或体育赛事中的 VIP 通⾏证类似。

VIP 通⾏证使选定的客⼈享有未向普通⼊场券持有⼈提供的特权，例如优先进⼊或能够进⼊专⽤区。

How
ACL 定义了⼀组规则，⽤于对进⼊⼊站接⼝的数据包、通过路由器中继的数据包，以及从路由器出站接⼝输出的数据包施加额外的控制。

ACL 对路由器⾃⾝产⽣的数据包不起作⽤。

如图所⽰，ACL 可配置为应⽤于⼊站流量和出站流量。

⼊站 ACL - 传⼊数据包经过处理之后才会被路由到出站接⼝。

因为如果数据包被丢弃，就节省了执⾏路由查找的开销，所以⼊站 ACL ⾮常⾼效。

如果 ACL 允许该数据包，则会处理该数据包以进⾏路由。

当与⼊站接⼝连接的⽹络是需要检测的数据包的唯⼀来源时，最适合使⽤⼊站 ACL 来过滤数据包。

出站 ACL - 传⼊数据包路由到出站接⼝后，由出站 ACL 进⾏处理。

在来⾃多个⼊站接⼝的数据包通过同⼀出站接⼝之前，对数据包应⽤相同过滤器时，最适合使⽤出站 ACL。

查看路由器ACL
show access-lists
删除
a. 在串⾏ l0/0/0 接⼝下，删除以前作为出站过滤器应⽤到接⼝的访问列表 11：
R1(config)# int se0/0/0
R1(config-if)#no ip access-group 11 out
b. 在全局配置模式下，输⼊下列命令可删除 ACL：
R1(config)# no access-list 11
c. 验证 PC1 现在可以 ping 到 DNS 服务器和 PC4。

创建ACL（要在思科路由器上使⽤编号标准 ACL，您必须先创建标准 ACL，然后在接⼝上激活 ACL。

）
标准 ACL 命令的完整语法如下：
Router(config)# access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]
【例⼀】可⽤于允许或拒绝单个主机或⼀组主机地址。

要在编号 ACL 10 中创建⼀条 host 语句以允许 IPv4 地址为 192.168.10.10 的特定主机，您应该输⼊：
R1(config)# access-list 10 permit host 192.168.10.10
【例⼆】要在允许 192.168.10.0/24 ⽹络中所有 IPv4 地址的编号 ACL 10 中创建⼀条允许⼀组 IPv4 地址的语句，您应该输⼊：R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
. 默认情况下，访问列表将拒绝与任何规则都不匹配的所有流量。

要允许所有其他流量，请配置以下语句：
R2(config)# access-list 1 permit any
将标准 IPv4 ACL 应⽤于接⼝
配置标准 IPv4 ACL 之后，可以在接⼝配置模式下使⽤ ip access-group 命令将其关联到接⼝：
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out }
要从接⼝上删除 ACL，⾸先在接⼝上输⼊ no ip access-group 命令，然后输⼊全局命令 no access-list 删除整个 ACL。