路由器访问控制列表的配置

7、访问控制列表设置原则
1）具体精确的条件放在一般性条件的前面；常发生的条件放在不常发生的条件前面。
2）从头到尾，至顶向下匹配，一当匹配成功就不会再访问下一条。
3）一切未被允许的就是禁止，如果到末尾还未找到匹配项，则默认执行丢弃 （DENY），所以在写ACL时，一定要注意先后顺序。 4）标准访问控制列表不能指定目标地址，所以应将其放在离目的地尽可能近的地方。 5）应尽量将扩展访问控制列表放置在靠近被拒绝的数据源的地方。 6）访问列表只过滤经由当前路由器的数据流，而不能过滤当前路由器发送的数据流。
1、实训拓扑图
R1 S0 F1/1 172.16.3.0/24 S0 R2
F1/2
F1/1
FTP服务器 pc1:172.16.1.0/24 pc2:172.16.2.0/24 Pc3:172.16.4.0/24
图18-2
2、设备IP地址分配
PC1：IP地址:172.16.1.2、子网掩码：255.255.255.0、网关：172.16.1.1； PC2：IP地址:172.16.2.2、子网掩码：255.255.255.0、网关：172.16.2.1；
5、访问控制列表应用步骤
1）在全局配置模式下，创建访问控制列表； 2）在接口配置模式下，将所创建的ACL规则应用到路由器接口上，并指明数据
流方向。
6、删除访问控制列表命令
1）进入全局配置模式，在定义ACL命令前加no就可以删除本条访问控制列表。 2）进入相应的接口模式下，输入no access-group 列表号 {in|out}。
二、配置命令格式介绍
1、标准访问控制列表
1）、命令格式
Router(config)#access-list list-number {permit|deny} [host/any] {sourceaddress [wildcard-mask]}
2）、参数说明 []表示可选项，{}表示必选项； access-list------访问控制列表命令 list-number------列表号范围从1到99,可随意取 permit/deny------允许或拒绝数据包通过接口
访问控制列表的分类： 1、标准IP访问控制列表 标准IP访问控制列表是基于源IP地址进行判定是否拒绝或允许数据包通过。其 访问列表编号范围从1到99。 2、扩展IP访问控制列表 扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，它能够基于协 议类型、源地址、目的地址、源端口、目的端口等来控制数据包是否流入还是流出。 其访问列表编号范围从100到199。 3、标准IPX访问控制列表 标准IPX访问控制列表检查IPX源网络号和目的网络号，同样可以检查源地址和 目的地址的节点号部分。访问列表编号范围是从800-899。 4、扩展IPX访问控制列表 扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中 以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。访问列表编号范围 是从900-999。 5、命名访问控制列表 所谓命名访问控制列表是用列表名称代替列表编号来定义访问控制列表，同样 包括标准和扩展两种列表，定义过滤的语句与编号方式的访问列表相同。
(2)、Extended型
Router(config)#ip access-list extended test2 Router(config-ext-nacl)#permit tcp any any eq 80 Router(config-ext-nacl)#permit tcp any any eq 21 Router(config-ext-nacl)#permit tcp any any eq 23 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#exit Router(config)#int s2/0 Router(config-if)#ip access-group test2 out Router(config-if)#^Z
8、查看访问控制列表的配置情况
1）、Router#show interface 2）、Router#show running-config 3）、Router#show access-lists //显示在某个接口上绑定了那些ACL //显示ACL详细信息和绑定位置 //显示所有的ACL列表内容
三、访问控制列表配置案例
3）、配置举例 Router(config)#Access-list 101 deny ip any 20.0.0.0 0.255.255.255 Router(config)#Access-list 101 permit ip any any //这两条命令表示禁止任何IP地址访问20.0.0.0/8这个目的网络，但允许访问 其他任何网络。 Router(config)#Access-list 110 permit tcp any host 10.61.0.1 eq www //表示允许任何主机以www方式访问10.61.0.1这个特定主机，操作符eq www也可以使用eq 80代替。 Router(config)#Access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.1.2 eq ftp //表示允许192.168.0.0这个网络中的所有主机以ftp方式访问172.168.1.2这 台服务器。
4、在接口上应用访问控制列表
Router(config)#interface 接口号 //先进入要应用ACL的接口 Router(config-if)# ip access-group access-list-number { in | out }
提示：使用 ip access-group命令将相应的列表规则应用于接口上，并指定接口数 据流方向。In为入栈应用，指经某接口进入设备内部的数据包进行安全规则过滤；而 out为出栈应用，指设备从某接口向外发送数据包时进行安全规则过滤。
host/any---------host表示特定的某台主机，而any表示指任何地址
source-address---源IP地址 wildcard-mask----通配符掩码或称反掩码
wildcard-mask省略时，表示取默认值0.0.0.0；通配符掩码的作用与子 网掩码刚好相反，在通配符掩码位中，0表示“匹配”即要检查相应的位，1 表示“不关心”即不检查相应的位。通配符掩码与IP地址是成对出现的，如 表示192.168.10.0这个网段，使用通配符掩码应为0.0.0.255。 关键字host和any，在通配符掩码中，用255.255.255.255表示所有IP地 址，因为全1说明所有32位都不进行匹配，所以可以用关键字any来代替。 而0.0.0.0的通配符掩码则表示所有32位都要进行匹配，这样只有一个IP地址， 所以可以用关键字host代替。 3）、配置举例 Router(config)#Access-list 1 permit 200.1.1.2 //表示允许IP地址为200.1.1.2的数据包通过，相当于Access-list 1 permit 200.1.1.2 0.0.0.0，还等同于Access-list 1 permit host 200.1.1.2。
3、ቤተ መጻሕፍቲ ባይዱ名访问控制列表
1）、命令格式
Standard型：Router(config)#ip access-list standard acl_name
Extended型：Router(config)#ip access-list extended acl_name 2）、参数说明 acl_name为定义访问控制列表名称，standard为标准关键词，extended为扩 展关键词；其余所有的参数设置与编号访问控制列表相似。 命名ACL的优点： 用名字代替数字，可直观反应特定的ACL； 不必受标准99和扩展100的限制； 管理员可以不用删除ACL而方便地对ACL进行修改。
2、扩展访问控制列表
1）、命令格式 Router(config)#access-list list-number {permit|deny} {protocol} [host/any] {source-address wildcard-mask [operator port]} [host/any] {destination-address wildcard-mask[operator port]} [established][log] 2）、主要参数说明 []表示可选项，{}表示必选项； list-number--列表号范围从100到199,可随意取； protocol-----表示使用的协议，如IP、ICMP、TCP、UDP等； host/any -----这两个关键词同样适用于扩展访问控制列表； operator-----为操作符，常用的有小于、大于、等于和不等于分别用关键 字lt、gt、eq和neq表示；Port为端口号或应用名，如端口号23表示telnet， 端口号80表示www。所以端口号与应用名可相互代替使用(如eq www等同 于eq 80、eq telnet等同于 eq 23)；
3）、配置举例
(1)、Standard型
R2(config)#ip access-list standard test1 //配置名称为“test1”访问控制列表 R2(config-std-nacl)#deny 50.1.1.0 0.0.0.255 //拒绝50.1.1.0网段的数据包通过 R2(config-std-nacl)#permit any //允许其它网络的数据包通过 R2(config-std-nacl)#exit R2(config)#int s1/0 //进入S1/0端口 R2(config-if)#ip access-group test1 in //将列表规则test1应用到S1/0接口上 R2(config-if)#exit
Router(config)#Access-list 2 permit 192.168.20.0 0.0.0.255 //表示允许192.168.20.0这个网络中的所有主机数据包通过。 Router(config)#Access-list 3 deny 200.1.1.2
//表示禁止IP地址为200.1.1.2的数据包通过。
访问控制列表的作用：
1、可以限制网络流量、提高网络性能，如可以根据数据包的协议指定数据包的 优先级。 2、可以对通信流量的进行控制，如可以限定或简化路由更新信息的长度，从而 限制通过路由器某一网段的通信流量。 3、提供网络安全访问的基本手段，如可以允许或拒绝某台主机访问某个网络。 4、可以在路由器接口处决定哪种类型的通信流量被转发或被阻塞，如用户可以 允许转发E-mail通信流量，而拒绝所有的Telnet通信流量。
Router(config)#Access-list 5 deny 200.1.1.2 Router(config)#Access-list 5 permit any
//这两条命令表示禁止IP地址为200.1.1.2的数据包通过，但允许其他任何IP 地址数据包通过。需要注意的是这两条语句的顺序，访问列表语句的处理 顺序是从上到下，如果我们将两个语句顺序颠倒，将permit语句放在deny 语句的前面，则我们将不能过滤来自主机地址200.1.1.2的数据包，因为 permit语句将允许所有的报文通过
实训十八、路由器访问控制列表的配置
重点内容 • 理解访问控制列表的概念及作用； • 基于IP协议的访问控制列表的配置方法；
一、访问控制列表的概念
访问控制列表（Access Control List，ACL）是应用在路由器接口的指令 列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要 拒绝，对于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端 口号等的特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当 作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。