CCNA-ACL(访问控制列表)技术总结

ACL（访问控制列表）技术总结

一 访问控制列表（A C L）

任何企业网络系统在为创造价值的同时，对安全性也有很高的要求。A C L（网络层访问控制列表）其实可以帮助企业实现网络安全策略，可以说A C L是一个很不错的解决工具或方案。

那什么是A C L呢？为了帮助企业网络运维人员深入理解A C L，可以根据以下几点看透A C L本质。

A C L：A c e s s C o n t r o l L i s t，即访问控制列表。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，A C L可以过滤网络中的流量，控制访问的一种网络技术手段。

二、看透A C L的本质

通常，很多企业都在使用N A T技术进行地址转换，而N A T技术中就包含了A C L的应用。通过A C L，我们可以控制哪些私有地址能上外网（公网），哪些不能。然后把这些过滤好的数据，进行N A T转换。另外，企业也需要对服务器的资源访问进行控制，通过A C L过滤出哪些用户不能访问，哪些用户能访问。

从实际应用中，我们看到A C L能够区分不同的数据流。这也意味着A C L的本质其实是一种流量分类技术，它是人为定义的一组或几组规则，目的是通过网络设备对数据流分类，以便执行用户规定的动作。换句话说，A C L本身不能直接达到访问控制的目的，它间接辅助特定的用户策略，达到人们所需效果的一种技术手段。在笔者看来，A C L是一种辅助型的技术或者说是工具。

1、应用于路由器接口的指令列表 ，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝

2、为了避免 A C L过多，号不够用，标准列表和扩展列表的范围进行了扩充

标准：1-99，1300-1999

扩展：100-199，2000-2699

3、路由器上的 A C L不对自己产生的流量产生作用。

4、A C L没有定义内容，就相当于不存在。

5、A C L在一个接口的一个方向上只能配置一个访问列表，后面的会覆盖前面的

6、A C L的工作原理

读取第三层及第四层包头中的信息，根据预先定义好的规则对包进行过滤

7、控制列表的作用

提供网络访问的基本安全手段

可用于Q o S，控制数据流量

控制通信量

8、访问控制列表的核心技术是包过滤。

9、d e n y（拒绝）和p e r m i t（允许）命令

R(c o n f i g)#a c c e s s-l i s t a c c e s s-l i s t-n u m b e r{p e r m i t|d e n y}{t e s t c o n d i t i o n s}

10、令i p a c c e s s-g r o u p将A C L应用到某一个接口上

R(c o n f i g-i f)#i p a c c e s s-g r o u p a c c e s s-l i s t-n u m b e r{i n|o u t}

11、的一个方向上，只能应用一个a c c e s s-l i s t

12、a n y和h o s t

A、通配符a n y可代替0.0.0.0255.255.255.255

B、h o s t表示检查I P地址的所有位

例如：R(c o n f i g)#a c c e s s-l i s t1p e r m i t0.0.0.0255.255.255.255=

R(c o n f i g)#a c c e s s-l i s t1p e r m i t a n y

R o u t e r(c o n f i g)#a c c e s s-l i s t1p e r m i t172.30.16.290.0.0.0=

R o u t e r(c o n f i g)#a c c e s s-l i s t1p e r m i t h o s t172.30.16.29

13、问控制列表

根据数据包的源I P地址来允许或拒绝数据包

访问控制列表号从1到99

14、问控制列表的配置

第一步，使用a c c e s s-l i s t命令创建访问控制列表

R o u t e r(c o n f i g)#a c c e s s-l i s t a c c e s s-l i s t-n u m b e r{p e r m i t|d e n y}s o u r c e[s o u r c e-w i l d c a r d][l o g]第二步，使用i p a c c e s s-g r o u p命令把访问控制列表应用到某接口

R o u t e r(c o n f i g-i f)#i p a c c e s s-g r o u p a c c e s s-l i s t-n u m b e r{i n|o u t}

15、问控制列表

基于源和目的地址、传输层协议和应用端口号进行过滤

每个条件都必须匹配，才会施加允许或拒绝条件

使用扩展A C L可以实现更加精确的流量控制

访问控制列表号从100到199

16、展访问控制列表的配置

使用a c c e s s-l i s t命令创建扩展访问控制列表

R o u t e r(c o n f i g)#a c c e s s-l i s t a c c e s s-l i s t-n u m b e r{p e r m i t|d e n y}p r o t o c o l[s o u r c e s o u r c e-w i l d c a r d d e s t i n a t i o n d e s t i n a t i o n-w i l d c a r d][o p e r a t o r p o r t][e s t a b l i s h e d][l o g]

17、

操作符及语法意义

e q p o r t n u m b e r等于端口号 p o r t n u m b e r

g t p o r t n u m b e r大于端口号p o r t n u m b e r

l t p o r t n u m b e r小于端口号p o r t n u m b e r

本帖隐藏的内容需要回复才可以浏览

n e q p o r t n u m b e r不等于端口号p o r t n u m b e r

18、命名的访问控制列表

标准A C L和扩展A C L中可以使用一个字母数字组合的字符串（名字）代替来表示A C L的表号

命名I P访问列表允许从指定的访问列表删除单个条目

如果添加一个条目到列表中，那么该条目被添加到列表末尾

不能以同一个名字命名多个A C L

在命名的访问控制列表下，p e r m i t和d e n y命令的语法格式与前述有所不同

19、命名的访问控制列表的配置：

第一步，创建名为c i s c o的命名访问控制列表

例：R o u t e r(c o n f i g)#i p a c c e s s-l i s t e x t e n d e d c i s c o

第二步，指定一个或多个p e r m i t及d e n y条件