ACL概念与配置实例

ACL概念与配置实例

05-31 by LinuxA

防火墙必须能够提供控制网络数据流的能力，以用于安全性、qos需求和各种策略制定等各个方面。实现数据流控制的手段之一是使用acl（access control list，访问控制列表）。

acl是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。

反掩码和子网掩码相似，但写法不同

0表示需要比较

1表示忽略比较

反掩码和IP地址结合使用，可以描述一个地址范围

反掩码（11111110）表示所有的偶数，（11111100）表示所有的4的倍数。于此类推。

通配符any可代替0.0.0.0 255.255.255.255

host表示与整个IP主机地址的所有位相匹配

标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包

标准IP访问控制列表的访问控制列表号从1到99

标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝

标准访问控制列表一般用在目标地址的入口

扩展访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过虑来提供更高程度的控制

扩展访问控制列表行中的每个条件都必须匹配，才认为该行被匹配，才会施加允许或拒绝条件

使用扩展ACL可以实现更加精确的流量控制

使用的数字号在100到199之间

扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝扩展访问控制列表一般用在源地址的出口。

标准的:access-list 1-99 deny/permit 源IP地址

扩展的:access-list 100-199 deny/permit ip/tcp/udp/icmp源IP/网段源端口eq/neq/gt/ct 目的IP/网段目的端口eq/neq/gt/ct

然后在接口下

ip access-group ACL号 out/in

ACL的处理过程：若第一条不匹配，则依次往下进行判断，直到有任一条语句匹配

ACL使用反码来标志一个或几个地址是被允许还是被拒绝

配置实例

标准访问控制列表的配置

第一步，使用access-list命令创建访问控制列表

Router(config)# access-list access-list-number { permit | deny } source [source- wildcard-mask ] [log]

(config)# access-list access-list-number permit any

第二步，使用ip access-group命令把访问控制列表应用到某接口

Router（config-if）# ip access-group access-list-number { in | out }

扩展访问控制列表的配置

第一步，使用access-list命令创建一个扩展访问控制列表

(config)# access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port][established][log]

(config)# access-list access-list-number permit ip any any

第二步，使用ip access-group命令把一个扩展访问控制列表应用到某接口

（config-if）# ip access-group access-list-number { in | out }

扩展ACL的应用示例：

第一步，创建拒绝来自172.16.4.0去往172.16.3.0的telnet流量的ACL

Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)# access-list 101 permit ip any any

第二步，应用到接口E0的出方向上

Router(config)# interface Ethernet 0

Router（config-if）# ip access-group 101 out

命名访问控制列表的配置

(config)# ip access-list extended cisco

其余步骤与上类同，但提示符会变为（config ext-nacl）# ，如果是标准访问控制列表则变为（config std-nacl）#