Cisco ACL access-list 详解

思科ACL访问控制列表常规配置操作详解

本⽂实例讲述了思科ACL访问控制列表常规配置操作。分享给⼤家供⼤家参考，具体如下：

⼀、ACL概述

ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

Cisco 路由ACL（访问控制列表）的配置

标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码） Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型） 192.168.1.1（源IP） 0.

标准ACL

Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）

Router(config)#interface f0/0

Router(config-if)#ip access-group 1-99 out/in

扩展ACL

Router(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号

Router(config)#interface f0/0

Router(config-if)#ip access-group 100-199 out/in

基于时间的ACL

设定路由器的时间:

Cisco ACL原理及‎配置详解

2008年1‎1月30日星期日下午01:16

什么是ACL‎？

访问控制列表‎简称为ACL‎，访问控制列表‎使用包过滤技‎术，在路由器上读‎取第三层及第‎四层包头中的‎信息如源地址‎，目的地址，源端口，目的端口等，根据预先定义‎好的规则对包‎进行过滤，从而达到访问‎控制的目的。该技术初期仅‎在路由器上支‎持，近些年来已经‎扩展到三层交‎换机，部分最新的二‎层交换机也开‎始提供ACL‎的支持了。

访问控制列表‎使用原则

由于ACL涉‎及的配置命令‎很灵活，功能也很强大‎，所以我们不能‎只通过一个小‎小的例子就完‎全掌握全部A‎C L的配置。在介绍例子前‎为大家将AC‎L设置原则罗‎列出来，方便各位读者‎更好的消化A‎C L知识。

1、最小特权原则‎

只给受控对象‎完成任务所必‎须的最小的权‎限。也就是说被控‎制的总规则是‎各个规则的交‎集，只满足部分条‎件的是不容许‎通过规则的。

2、最靠近受控对‎象原则

所有的网络层‎访问权限控制‎。也就是说在检‎查规则时是采‎用自上而下在‎A CL中一条‎条检测的，只要发现符合‎条件了就立刻‎转发，而不继续检测‎下面的ACL‎语句。

3、默认丢弃原则‎

在CISCO‎路由交换设备‎中默认最后一‎句为ACL中‎加入了DEN‎Y ANY ANY，也就是丢弃所‎有不符合条件‎的数据包。这一点要特别‎注意，虽然我们可以‎修改这个默认‎，但未改前一定‎要引起重视。

由于ACL是‎使用包过滤技‎术来实现的，过滤的依据又‎仅仅只是第三‎层和第四层包‎头中的部分信‎息，这种技术具有‎一些固有的局‎限性，如无法识别到‎具体的人，无法识别到应‎用内部的权限‎级别等。因此，要达到端到端‎的权限控制目‎的，需要和系统级‎及应用级的访‎问权限控制结‎合使用。

详解cisco访问控制列表ACL

一：访问控制列表概述

〃访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

〃工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

〃实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL

〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号

一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

〃标准ACL的配置：

router（config）#access-list表号 deny(禁止)网段/IP地址反掩码

********禁止某各网段或某个IP

router（config）#access-list表号 permit（允许） any

注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

router（config-if）#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN

access-list（访问控制列表的配置）

示例：

编号方式

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号

一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。）

◆允许172.17.31.222通过，其他主机禁止

Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222◆禁止172.17.31.222通过,其他主机允许

Cisco-3750(config)#access-list 1 deny host 172.17.31.222

Cisco-3750(config)#access-list 1 permit any

◆允许172.17.31.0/24通过,其他主机禁止

Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255）

◆禁止172.17.31.0/24通过,其他主机允许

Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254

CiscoACL原理及配置详解

什么是ACL?

访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则

由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则

只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则

所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则

在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

标准访问列表：

访问控制列表ACL

ACL简介

ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）

1.对访问网络的流量进行过滤，实现网络的安全访问；

2. 网络地址转换(NAT)；

3. QOS服务质量；

4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:

匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址

编号：标准ACL范围1--- 99

策略：permit允许 | deny 拒绝

源地址：要严格检查的地址（ IP+通配符掩码）

通配符掩码--- 是用来限定特定的地址范围（反掩码）

用0 表示严格匹配

用1 表示不检查

例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查

主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位

子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查

任意的 0.0.0.0 通配符掩码255.255.255.255不检查

主机 ---- host 172.16.1.1 任意 ---- any

练习：192.168.1.64/28

子网掩码：255.255.255.240

子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)

ACL(Access Control List，访问控制列表)

技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管 (VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部 (VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？

cisco路由器相关的配置命令的用法和解释

—访问控制列表(access-list)

对于许多网管员来说，配置路由器的访问控制列表是一件经常性的工作，可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形，以及其他的一些功能都可以通过访问表来达到目的。

访问列表的种类划分

目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。

基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。

表1列出了路由器所支持的不同访问表的号码范围。

由于篇幅所限，本文只对标准访问列表和扩展访问列表进行讨论。

标准IP访问表

标准IP访问表的基本格式为：

access-list [list

number][permit|deny][host/any][sourceaddress][wildcard-mask][log] 下面对标准IP访问表基本格式中的各项参数进行解释：

1.list number---表号范围

标准IP访问表的表号标识是从1到99。

2.permit/deny----允许或拒绝

ACL原理及配置实例

ACL是Access Control List的缩写，即访问控制列表，是网络设备上用来限制网络流量的一种功能。ACL可以根据不同的条件对网络流量进行过滤和控制，以实现网络安全策略的目的。

ACL工作原理：

ACL通过一个规则列表来决定对流量的处理方式，这个规则列表包含了匹配条件和动作两部分。ACL会逐条匹配流量，并根据匹配结果执行相应的动作，通常包括允许、拒绝或者重定向到特定的目标地址。

ACL的规则列表按照优先级从高到低依次进行匹配，一旦匹配成功则不再进行后续的匹配。因此，规则列表的顺序非常重要，应该将最常匹配的规则放在前面，这样可以提高ACL的效率。

ACL的配置实例：

下面以思科路由器为例，演示ACL的配置过程。

1.创建一个ACL：

首先，需要创建一个ACL用于定义规则列表。ACL可以基于源地址、目标地址、源端口、目标端口、协议等条件进行过滤。

```

Router(config)# ip access-list extended ACL_NAME

```

ACL_NAME是ACL的名称，可以自定义。

2.添加规则到ACL：

在ACL中添加规则，来定义对网络流量的过滤行为。每个规则都可以

包含多个条件和一个动作。

```

Router(config-ext-nacl)# permit/deny protocol source-address source-wildcard

destination-address destination-wildcard [operator [port]]

access-list(访问控制列表)总结

ACL的作用

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B 访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

ACL的配置

ACL的配置分为两个步骤：

第一步:在全局配置模式下，使用下列命令创建ACL：

Router (config)# access-list access-list-number {permit | deny } {test-conditions}

其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。

第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：

Router (config-if)# {protocol} access-group access-list-number {in | out }

其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。

ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。

access-list(访问控制列表)总结

ACL的作用

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B 访问。

ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

ACL的配置

ACL的配置分为两个步骤：

第一步:在全局配置模式下，使用下列命令创建ACL：

Router (config)# access-list access-list-number {permit | deny } {test-conditions}

其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。

第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：

Router (config-if)# {protocol} access-group access-list-number {in | out }

其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。

ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。

思科C i s c o路由器a c c e s s l i s t访问控制

列表命令详解

集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]

思科Cisco路由器access-list访问控制列表命令详解

Post by mrchen, 2010-07-25, Views:

原创文章如转载，请注明：转载自 [ ]

本文链接地址：

CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。

标准型IP访问列表的格式

---- 标准型IP访问列表的格式如下：

---- access-list[list number][permit|deny][source address][address][wildcard mask][log]

---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list这2个关键字之间必须有一个连字符"-"；

一、list nubmer参数

list number的范围在0～99之间，这表明该access-list语句是一个普通的标准型IP 访问列表语句。因为对于Cisco IOS，在0～99之间的数字指示出该访问列表和IP协议有关，所以list number参数具有双重功能:

（1）定义访问列表的操作协议;

（2）通知IOS在处理access-list语句时，把相同的list number参数作为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是通过list number（范围是100～199之间的数字）而表现其特点的。因此，当运用访问列表时，还需要补充如下重要的规则: 在需要创建访问列表的时候，需要选择适当的list number参数。

IP访问控制列表（ACL）中的默认规则可以根据具体的配置和设备进行调整。一般来说，当ACL中没有匹配规则时，会有一个默认规则来指定如何处理未匹配的流量。

在Cisco设备上，有两种常见的默认规则：

1. 隐式拒绝（Implicit Deny）：这是Cisco设备上ACL的默认行为。如果ACL中没有任何匹配规则，那么所有未匹配的流量都会被隐式拒绝，即被视为不允许通过的流量。这意味着未匹配的流量将被丢弃，不允许通过路由器或交换机。

2. 隐式允许（Implicit Permit）：在某些特定的情况下，也可以配置ACL的默认行为为隐式允许。这意味着如果ACL中没有匹配规则，所有未匹配的流量将被视为允许通过的流量，并继续转发。

需要注意的是，ACL的默认规则可能因设备类型、操作系统版本以及具体的配置而有所不同。在配置ACL时，建议参考设备的技术文档或咨询网络管理员以确定默认规则的行为和配置方式。

ACL(Access Control List，访问控制列表) 技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网，并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换 机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。分别是网络设备与网管 (VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部 (VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。每个网段的三层设备（也就是客户机 上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿 领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管，搞得他头都大了。那 有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。 那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。只 不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于 Cisco IOS的ACL进行编写。 基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 功能：网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则：在实施ACL的过程中，应当遵循如下两个基本原则： u 最小特

简介

ACL(Access Control List 访问控制列表)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL的定义也是基于每一种被动路由协议的，且适用于所有的被动路由协议(如IP、IPX、Apple Talk等)，如果路由器接口配置成为三种协议(IP、Apple Talk和IPX)，那么必须定义三种ACL来分别控制这三种协议的数据包。

ACL的作用

ACL可以限制网络流量、提高网络性能；提供网络安全访问的基本手段；可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞，应用范围很广，如：路由过滤、Qos、NAT、Router-map、VTY等。

ACL的分类

根据过滤层次：基于IP的ACL(IP ACL)、基于MAC的ACL(MAC ACL)，专家

ACL(Expert ACL)。

根据过滤字段：标准ACL(IP ACL、MAC ACL)、扩展ACL(IP ACL、MAC ACL、专家ACL)。

根据命名规则：表号ACL、命名ACL。

说明：标准型ACL功能非常简单；而扩展型ACL功能非常强大，匹配的更详细，对路由器等网络设备的性能要求更高，或者对于网速的拖慢更明显，组网时需要酌情使用。

ACL的工作原理

ACL的执行按照列表中条件语句的顺序从上到下、逐条依次判断执行。如果一个数据包的报头跟表中某个条件判断语句相匹配，则不论是第一条还是最后一条语句，数据包都会立即发送到目的端口，那么后面的语句将被忽略，不再进行检查。当数据包与前一个判断条件不匹配时，才被交给下一条判断语句进行比较。如果所有的ACL判断语句都检测完毕，