CCNA讲义之访问控制列表篇

访问控制列表访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。

定义访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。

它是保证网络安全最重要的核心策略之一。

访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。

作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（Network Address Translation，NAT）、按需拨号路由（Dial on Demand Routing，DDR）、路由重分布（Routing Redistribution）、策略路由（Policy-Based Routing，PBR）等很多场合都需要访问控制列表。

访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

几种访问控制列表的简要总结1.标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。

编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2.扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

访问控制列表建立访问控制列表，可对数据流量进行简单的控制，以及通过这种控制达到一不定程度的安全性，允许或拒绝数据包通过路由器，从而达到对数据包进行过滤的目的。

另外，也可以在VTY线路接口上使用访问控制列表，来保证telnet的连接的安全性。

因为接口的数据流是有进口和出口两个方向的，所以在接口上使用访问控制列表也有进和出两个方向。

进方向的工作流程进入接口的数据包——进方向的访问控制列表——判断是否匹配——不匹配，丢弃，匹配，进入路由表——判断是否有相应的路由条目——无，丢弃，有从相应接口转发出去出口方向的工作流程进入接口数据包——进入路由表，判断是否是相应的路由条目——无，丢弃，有，数据包往相应接口——判断出口是否有访问控制列表——无，数据被转发，有，判断条件是否匹配——不匹配，丢弃，匹配，转发。

比较看，尽可能使用进方向的访问控制列表，但是使用哪个方向的应根据实际情况来定。

类型标准访问控制列表所依据的条件的判断条件是数据包的源IP地址，只能过滤某个网络或主机的数据包，功能有限，但方便使用。

命令格式先在全局模式下创建访问控制列表Router（config）＃access－list access－list－number ｛permit or deny｝soure ｛soure－wildcard｝log注：access－list－number 是访问控制列表号，标准的访问控制列表号为0～99;permit 是语句匹配时允许通过，deny是语句不匹配时，拒绝通过。

soure是源IP地址，soure－wildcard 是通配符，log是可选项，生成有关分组匹配情况的日志消息，发到控制台补：当表示某一特定主机时，soure ｛soure－wildcard｝这项例如：192.168.1.1 0.0.0.255 可表示为host 192.168.1.1创建了访问控制列表后，在接口上应用Router（config－if）＃ip access－group access－list－number ｛in or out｝扩展访问控制列表扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。

访问控制列表ACL笔记1、访问控制列表应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。

提供网络基访问的基本安全手段，可用于Qos，控制数据流量，控制通信。

ACL工作原理读取第三层及第四层包头中信息，根据预先定义好的规则对包进行过滤。

可以基于源地址、目的地址、目的地址、源地址、协议类型等。

过程匹配第一步Y允许N匹配下一步Y允许目的接口N匹配下一步Y允许N隐含的拒绝拒绝丢弃使用ip access-group将ACL应用到某一个接口上，接口的一个方向上只能应用一个ACL Router(config-if)#ip access-group “access-list-number”{in|out}Per和denyRouter(config)#access-list “access-list-number”{ permit | deny } { test conditions}实例：第一步，创建访问控制列表Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255第二步，应用到接口e0的出方向上Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out通配符any可以代替0.0.0.0 255.255.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#access-list 1 permit any通配符host可以代替一台主机，host标识检查IP地址的所有位。

访问控制列表1、访问控制列表的概念访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。

访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。

路由器一个一个地检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定路由器接收或拒收该包。

2、ACL的作用1）ACL可以限制网络流量、提高网络性能。

2）ACL提供对通信流量的控制手段。

3）ACL是提供网络安全访问的基本手段。

4）ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。

3、ACL的分类ACL包括两种类型:1)标准访问列表：只检查包的源地址。

2)扩展访问列表：既检查包的源地址，也检查包的目的地址，也可以检查特殊的协议类型、端口以及其他参数，具有更大的自由度。

4、ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。

如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。

如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。

如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

5、ACL的取值范围在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，下表指出了每种协议所允许的合法表号的取值范围。

6、正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。

然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

1）标准ACL要尽量靠近目的端。

2）扩展ACL要尽量靠近源端。

7、ACL的配置ACL的配置分为两个步骤：1）第一步:在全局配置模式下，使用下列命令创建ACL：Router (config)# access-list access-list-number {permit | deny } {test-conditions}其中，access-list-number为ACL的表号。

访问控制列表一、访问控制列表的定义：访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

二、访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

三、访问控制列表的分类目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。

基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。

（一）标准访问列表：访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL标准访问控制列表是最简单的ACL。

CCNA 基础实验：使用访问控制列表实验 6：使用访问控制列表 SPOTO CCNA 实验拓扑：实验设备：四台 Cisco2501 路由器，R11 的 S0 连接 R22 的 S0，R33 和 R44 通过 E0 连 接 R11 和 R22 的 E0 口。

路由器基本配置： R11#conf t R11(config)#line vty 0 4 R11(config-line)#pass spoto R11(config-line)#login R11(config-line)#int e0 R11(config-if)#ip add 192.168.10.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#int s0 R11(config-if)#ip add 192.168.20.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#router eigrp 10 R11(config-router)#netw 192.168.10.0 R11(config-router)#netw 192.168.20.0 R22(config)#line vty 0 4 R11(config-line)#pass spoto R11(config-line)#login R11(config-line)#int s0 R11(config-line)#ip add 192.168.20.2 255.255.255.0R11(config-line)#no shut R11(config-line)#clock rate 64000 R11(config-line)#int e0 R11(config-if)#ip add 192.168.30.1 255.255.255.0 R11(config-if)#no shut R11(config-if)#router eigrp 10 R11(config-router)#netw 192.168.20.0 R11(config-router)#netw 192.168.30.0 R33(config)#hostname PC2 PC2(config)#no ip routing PC2(config)#line vty 0 4 PC2(config-line)#pass spoto PC2(config-line)#login PC2(config-line)#int e0 PC2(config-if)#ip add 192.168.30.2 255.255.255.0 PC2(config-if)#no shut PC2(config-if)#exit PC2(config)#ip default-gateway 192.168.30.1 R44(config)#host PC1 PC1(config)#no ip routing PC1(config)#line vty 0 4 PC1(config-line)#pass spoto PC1(config-line)#login PC1(config-line)#int e0 PC1(config-if)#ip add 192.168.10.2 255.255.255.0 PC1(config-if)#no shut PC1(config-if)#exit PC1(config)#ip default-gateway 192.168.10.1 PC1(config)#end PC1#ping 192.168.30.2 //验证路由协议。

访问控制列表使⽤⽬的： 1、限制络流量、提⾼络性能。

例如队列技术，不仅限制了络流量，⽽且减少了拥塞 2、提供对通信流量的控制⼿段。

例如可以⽤其控制通过某台路由器的某个络的流量 3、提供了络访问的⼀种基本安全⼿段。

例如在公司中，允许财务部的员⼯计算机可以访问财务服务器⽽拒绝其他部门访问财务服务器 4、在路由器接⼝上，决定某些流量允许或拒绝被转发。

例如，可以允许FTP的通信流量，⽽拒绝TELNET的通信流量。

⼯作原理： ACL中规定了两种操作，所有的应⽤都是围绕这两种操作来完成的：允许、拒绝 注意：ACL是CISCO IOS中的⼀段程序，对于管理员输⼊的指令，有其⾃⼰的执⾏顺序，它执⾏指令的顺序是从上⾄下，⼀⾏⾏的执⾏，寻找匹配，⼀旦匹配则停⽌继续查找，如果到末尾还未找到匹配项，则执⾏⼀段隐含代码——丢弃DENY.所以在写ACL时，⼀定要注意先后顺序。

例如：要拒绝来⾃172.16.1.0/24的流量，把ACL写成如下形式 允许172.16.0.0/18 拒绝172.16.1.0/24 允许192.168.1.1/24 拒绝172.16.3.0/24 那么结果将于预期背道⽽驰，把表⼀和表⼆调换过来之后，再看⼀下有没有问题： 拒绝172.16.1.0/24 允许172.16.0.0/18 允许192.168.1.1/24 拒绝172.16.3.0/24 发现172.16.3.0/24和刚才的情况⼀样，这个表项并未起到作⽤，因为执⾏到表⼆就发现匹配，于是路由器将会允许，和我们的需求完全相反，那么还需要把表项四的位置移到前⾯ 最后变成这样： 拒绝172.16.1.0/24 拒绝172.16.3.0/24 允许172.16.0.0/18 允许192.168.1.1/24 可以发现，在ACL的配置中的⼀个规律：越精确的表项越靠前，⽽越笼统的表项越靠后放置　ACL是⼀组判断语句的集合，它主要⽤于对如下数据进⾏控制： 1、⼊站数据； 2、出站数据； 3、被路由器中继的数据 ⼯作过程 1、⽆论在路由器上有⽆ACL，接到数据包的处理⽅法都是⼀样的：当数据进⼊某个⼊站⼝时，路由器⾸先对其进⾏检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括AD，METRIC……及对应的出接⼝； 2、这时，我们假定该数据是可路由的，并且已经顺利完成了第⼀步，找出了要将其送出站的接⼝，此时路由器检查该出站⼝有没有被编⼊ACL，如果没有ACL 的话，则直接从该⼝送出。

CCNA标准实验07——扩展访问控制列表的配置实验要求：1.禁止PC1远程登录到路由器Router0、2.禁止PC2访问FTP服务器8.8.8.83.禁止PC3访问万维网服务器8.8.8.84.禁止PC2 ping 通路由器Router1配置路由器Router0Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hos ccna //配置主机名ccna(config)#line console 0ccna(config-line)#logging syccna(config-line)#logging synchronous //防止console日志打断配置命令ccna(config-line)#exitccna(config)#line console 0ccna(config-line)#execccna(config-line)#exec-timeout 0 ? //关闭超时计时器<0-2147483> Timeout in seconds<cr>ccna(config-line)#exec-timeout 0 0ccna(config-line)#exitccna(config)#enable password snkccna(config)#int fa0/0ccna(config-if)#ip address 192.168.1.254 255.255.255.0ccna(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upccna(config-if)#ccna(config-if)#exitccna(config)#int s1/0ccna(config-if)#ip address 192.168.3.1 255.255.255.0ccna(config-if)#clock rate 64000ccna(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial1/0, changed state to downccna(config-if)#exitccna(config)#配置路由器Router1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#enable password snkRouter(config)#line console 0Router(config-line)#logging syRouter(config-line)#logging synchronousRouter(config-line)#exitRouter(config)#line console 0Router(config-line)#exec-timeout 0 0Router(config-line)#exitRouter(config)#int s1/0Router(config-if)#ip address 192.168.3.2 255.255.255.0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial1/0, changed state to upRouter(config-if)#no shutdownRouter(config-if)#exitRouter(config)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config)#int fa0/0Router(config-if)#ip address 8.8.8.1 255.255.255.0Router(config-if)#no sh%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to upRouter(config-if)#Router(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#exitRouter(config)#ccna(config)#line vty 0 4 //配置远程登录密码ccna(config-line)#password ccnaccna(config-line)#login //强制启用远程登录ccna(config-line)#exitccna(config)#在路由器Router0上配置访问扩展列表ccna(config)#access-list 101 deny tcp host 192.168.1.1 host 192.168.1.254 eq 23 ccna(config)#access-list 101 deny tcp host 192.168.1.2 host 8.8.8.8 eq 20ccna(config)#access-list 101 deny tcp host 192.168.1.2 host 8.8.8.8 eq 21ccna(config)#access-list 101 deny tcp host 192.168.1.3 host 8.8.8.8 eq 80ccna(config)#access-list 101 deny icmp host 192.168.1.2 host 192.168.3.2ccna(config)#access-list 101 permit ip any anyccna(config)#int fa0/0ccna(config-if)#ip access-group 101 inccna(config-if)#exitccna(config)#验证配置1.PC1无法远程登录路由器Router0PC>telnet 192.168.1.254Trying 192.168.1.254 ...% Connection timed out; remote host not respondingPC>2.PC2无法访问FTP服务器PC>ftp 8.8.8.8Trying to connect...8.8.8.8%Error opening ftp://8.8.8.8/ (Timed out).Packet Tracer PC Command Line 1.0PC>(Disconnecting from ftp server)Packet Tracer PC Command Line 1.0PC>3.PC3无法访问万维网服务器8.8.8.84.PC2无法ping通路由器Router1PC>ping 192.168.3.2Pinging 192.168.3.2 with 32 bytes of data:Reply from 192.168.1.254: Destination host unreachable. Reply from 192.168.1.254: Destination host unreachable. Reply from 192.168.1.254: Destination host unreachable. Reply from 192.168.1.254: Destination host unreachable.Ping statistics for 192.168.3.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),PC>。

2009年6月23日11:05IP访问控制列表标准ACL 1)检查源地址2）不能对协议族作限定扩展ACL 1)检查源和目标地址2）能容许或拒绝特定的协议和应用（端口号）区别列表类型: 1）ACL号: 1-99,1300-1999标准ACL ;100-199,2000-2699扩展ACL2) 命名ACL用描述性的名字或号码标识访问列表的编号指明了使用何种协议的访问列表2.每个端口，每个方向，每个协议只能对应于一条访问列表3.访问列表内容决定了数据控制顺序，具有严格限制条件的语句放在所有语句最上面4.访问列表最后一条是隐含拒绝，所有每个访问控制列表至少有一条permit语句（否则所有流量不通过）5.访问控制列表需要应用在进出接口上，如何过滤流量，取决于怎么应用6.放置访问控制列表1）扩展访问列表应用在靠近源2）标准访问列表应用靠近目标inside:需要翻译成外部地址的网络local:出现于内网global:出现于外网inside local:分配给处于内网的主机的IP地址,地址是全局唯一的,一般分配的是由RFC 1918里定义的私有地址(private IP address)inside global:用来替代inside local的对外的,可用于Internet上的地址,即被翻译后的地址.地址全局唯一,由ISP分配outside local:外网主机相对于内网所用的IP地址.地址可以从RFC 1918中定义的进行分配outside global:分配给外网主机的外部地址simple translation entry: 把一个IP地址映射到另外一个地址上去的翻译方式extended translation entry: 把IP地址和端口(port)的组合翻译成另外一个地址和端口的组合static address translation:静态翻译,把一个local对应到global上去dynamic address translation:动态翻译,local和global池(pool)建立动态对应关系port address translation(PAT):通过使用地址和端口的结合来达到多个local对应一个global的状LAB-1：NAT的基本配置step1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：配置一个静态的(IP对IP)NAT转换R1(config)#ip nat inside source static 192.168.1.2 13.0.0.1inside local inside globle R1#show ip nat translationsPro Inside global Inside local Outside local Outside global--- 13.0.0.1 192.168.1.2 --- ---R1#debug ip natLAB-2：配置动态NATstep1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：用ACL定义需要做NAT的用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255step3：配置一个基于公网接口serial 1的NAT端口复用R1(config)#ip nat inside source list 1 interface serial 1 overload 内网用户NAT的出接口端口复用show ip nat trandeb ip natshow ip nat translationsLAB-3:配置一个基于地址池的NATstep0：在网关上为内部用户配置辅助地址R1(config)#inter e0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#ip add 192.168.2.1 255.255.255.0 secondary //配置辅助地址step1：定义内/外口step2：定义用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255step3：从ISP处购买来的公网IP，分别放入为不同子网准备的地址池中R1(config)#ip nat pool POOL_1 13.0.0.8 13.0.0.11 prefix-length 24 地址池的名字起始IP地址结束IP地址R1(config)#ip nat pool POOL_2 13.0.0.12 13.0.0.15 netmask 255.255.255.0step4：为不同的子网，进行基于不同NAT-Pool的转换R1(config)#ip nat inside source list 1 pool POOL_1 overloadR1(config)#ip nat inside source list 2 pool POOL_2 overload测试LAB-4基于端口号的NAT转换PATR1(config)#ip nat inside source static tcp 192.168.1.2 23 13.0.0.1 8000R1(config)#ip nat inside source static tcp 192.168.2.4 23 13.0.0.1 9000PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）Ip nat inside source list 10 int s1/1 overloadIp nat inside source list 10 pool liming overload (端口复用的可以是接口或地址池)NAT排障：1.检查inside 入口方向有没有ACL拒绝数据包通过2.NAT里引用的list添加所有需要转换的网段3.Nat 地址池地址不够PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）。