思科课件4、访问控制列表(ACL)的配置

思科⽹络配置-ACL1、标准ACL Router(config)# access-list access-list-number {permit | deny | remark} source [mask] Router(config-if)# ip access-group access-list-number {in | out} *表号------- 1 to 99 *缺省的通配符掩码 0.0.0.0 *no access-list access-list-number 移除整个ACL *remark 给访问列表添加功能注释 *mask 反掩码2.扩展ACL 扩展访问控制列表是⼀种⾼级的ACL，配置命令的具体格式如下： access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端⼝] [定义过滤⽬的主机访问] [定义过滤⽬的端⼝] 例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址⽹页服务（WWW）TCP连接的数据包丢弃。

⼩提⽰：同样在扩展访问控制列表中也可以定义过滤某个⽹段，当然和标准访问控制列表⼀样需要我们使⽤反向掩码定义IP地址后的⼦⽹掩码。

　 表号 100 to 199　3.命名访问控制列表 命名访问控制列表格式： ip access-list {standard/extended} <access-list-name>（可有字母，数字组合的字符串) 例如：ip access-list standard softer //建⽴⼀个名为softer的标准访问控制列表。

1. router（config）#ip access-list standard +⾃定义名2. router（config-std-nac1）#11 permit host +ip //默认情况下第⼀条为10,第⼆条为20.如果不指定序列号，则新添加的ACL被添加到列表的末尾3. router（config-std-nac1）#deny any4. router（config）#ip access-list standard benet5. router（config-std-nasl）#no 116. 使⽤show access-lists可查看配置的acl信息ACL的过滤流程： 1、按顺序的⽐较：先⽐较第⼀⾏，如果不匹配，再⽐较第⼆⾏，依次类推直到最后⼀⾏ 2、从第⼀⾏起，直到找到⼀个符合条件的⾏，符合以后就不再继续⽐较下去 3、默认在每个ACL中的最后⼀⾏为隐含的拒绝，最后要加pemint any,使其他的⽹络可通。

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

ACL（访问控制列表）一、基本：1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL，后面的ACL表不再检查2)、如果所有的ACL都不匹配，禁止所有的操作（隐含）特例，创建一个空的ACL表，然后应用这个空的ACL表，产生禁止所有的操作。

3）、后添加的ACL表，放在尾部4)、ALC表放置的原则：如果是基本ACL表，尽量放在目的端，如果是扩展ACL表，尽量放在源端5)、语句的位置：一般具体ACL表放在模糊的ACL表前6)、3P原则：每一个协议每一个接口每一个方向只有一个ACL表。

（多个ACL表会引起干扰）7)、应用ACL的方向，入站和出站，应用在接口上三、基本ACL表(不具体)1、定义命令：access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令：ip access-group <</span>编号> in/out 查看命令：sh access-lists1）、编号：1-99和1300-19992）、可以控制一台计算机或控制一段网络3）、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤：1、定义ACL表2、应用ACL表五、路由器在默认的情况下，对所有数据都是开放，而防火墙在默认情况下，对所有数据都禁止。

六：判断是流入还是流出，看路由器的数据流向七：注意：如果在写禁止，小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络（禁止）Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机（允许）Access-list 1 permit 172.16.1.1004、控制一个网段（允许）Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置：1)、使能密码2)、登录密码控制telnet服务应用端口命令：access-class <</span>编号> in/out 实例：只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例：。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

ACL的使用ACL的处理过程：1. 它是判断语句，只有两种结果，要么是拒绝（den y ,要么是允许（permit）2. 语句顺序按照由上而下的顺序处理列表中的语句3. 语句排序处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。

4. 隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny）要点：1. ACL能执行两个操作：允许或拒绝。

语句自上而下执行。

一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。

如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。

一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。

2. 如果在语句结尾增加deny any的话可以看到拒绝记录3. Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。

示例：编号方式标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇(比如IP)的所有通信流量。

)允许172.17.31.222通过，其他主机禁止Cisco-3750(co nfig)#access-list 1 (策略编号)(1-99、1300-1999) permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(co nfig)#access-list 1 de ny host 172.17.31.222Cisco-3750(c on fig)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254 (反码255.255.255.255 减去子网掩码，如172.17.31.0/24 的255.255.255.255 —255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(co nfig)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(c on fig)#access-list 1 permit any二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。

cisco路由器配置ACL详解ACL（Access Control List）是一种在Cisco路由器上配置的安全控制功能，用于控制网络流量的进出。

通过使用ACL，管理员可以根据特定的源地质、目标地质、端口号等条件来限制网络流量的传输。

本文将详细介绍如何在Cisco路由器上配置ACL。

第一章：ACL概述1.1 什么是ACL1.2 ACL的作用和用途1.3 ACL的优点和限制第二章：ACL配置方法2.1 基于标准访问列表（Standard Access List）的配置步骤2.2 基于扩展访问列表（Extended Access List）的配置步骤2.3 应用ACL到接口的配置步骤第三章：标准访问列表（Standard Access List）3.1 标准访问列表的介绍3.2 标准访问列表的配置示例3.3 标准访问列表的注意事项第四章：扩展访问列表（Extended Access List） 4.1 扩展访问列表的介绍4.2 扩展访问列表的配置示例4.3 扩展访问列表的注意事项第五章：应用ACL到接口5.1 应用ACL到入站（Inbound）接口的配置步骤 5.2 应用ACL到出站（Outbound）接口的配置步骤 5.3 应用ACL到VLAN接口的配置步骤第六章：法律名词及注释6.1 法律名词1的定义及注释6.2 法律名词2的定义及注释6.3 法律名词3的定义及注释附件：1、示例配置文件12、示例配置文件2请注意：文档中描述的配置选项和命令可能因不同的cisco路由器型号和软件版本而有所不同，具体的配置步骤应根据您的路由器型号和软件版本进行调整。

本文档涉及附件：（请根据实际情况列出涉及的附件）本文所涉及的法律名词及注释：（请根据实际情况列出相关法律名词及其注释）。

CiscoPacketTracer实验4：CISCOACL简单配置实验4：CISCO ACL 简单配置一、实验目的1、了解ACL 配置方法；2、练习在已有网络上配置ACL 协议二、实验环境packet tracer 5.0三、ACL 介绍ACL(Access Control List，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip 地址、协议端口号等信息进行过滤。

利用ACL 可以实现安全控制。

编号：1-99 or 1300-1999(standard IP)，100-199 or 2000-2699(Extended IP)。

ACL并不复杂，但在实际应用中的，要想恰当地应用ACL，必需要制定合理的策略。

四、实验步骤：一、配置实例拓扑图配置DNS SERVER：配置HTTP SERVER：二、配置三个路由器：以Router0 为例，其它两个路由器相似：Router>Router>enable /进入特权配置模式Router#config t /进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname yangyu-R0 /修改路由器名称yangyu-R0(config)#enable password yangyu /设置特权密码yangyu-R0(config)#LINE VTY 0 4yangyu-R0(config-line)#password yangyu /设置登陆密码yangyu-R0(config-line)#loginyangyu-R0(config-line)#endyangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z. yangyu-R0(config)#int fa 0/0 /配置FA0/0 端口yangyu-R0(config-if)#ip add 192.168.2.1 255.255.255.0yangyu-R0(config-if)#no shut /启用该端口yangyu-R0(config-if)#int s 1/0 /配置serial1/0 端口yangyu-R0(config-if)#ip add 172.17.1.1 255.255.255.0yangyu-R0(config-if)# clock rate 64000 /配置串行链路时钟yangyu-R0(config-if)#no shutyangyu-R0(config-if)#exityangyu-R0(config)#interface Serial1/1yangyu-R0(config-if)#ip address 172.16.1.1 255.255.255.0 yangyu-R0(config-if)#clock rate 64000yangyu-R0(config-if)#no shutdownyangyu-R0(config-if)#exyangyu-R0(config)#router eigrp 24 /启用EIGRP 协议，区域号为24 yangyu-R0(config-router)#network 192.168.2.0 /发布邻接网络yangyu-R0(config-router)#network 172.16.0.0yangyu-R0(config-router)#network 172.17.0.0yangyu-R0(config-router)#auto-summary /启用自动汇总yangyu-R0(config-router)#exR1，R2 的配置信息：R1：yangyu-R1#show ruyangyu-R1#show running-configBuilding configuration...Current configuration : 738 bytes!version 12.4no service password-encryption!hostname yangyu-R1!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.3.1 255.255.255.0duplex autospeed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.17.1.2 255.255.255.0 !interface Serial1/1ip address 172.18.1.1 255.255.255.0 clock rate 64000 !interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.3.0network 172.17.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!EndR2：yangyu-R2#show runn Building configuration... Current configuration : 720 bytes !version 12.4no service password-encryption !hostname yangyu-R2!!enable password yangyu!!!!ip ssh version 1!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1no ip addressduplex autospeed autoshutdown!interface Serial1/0ip address 172.18.1.2 255.255.255.0 !interface Serial1/1ip address 172.16.1.2 255.255.255.0 !interface Serial1/2no ip addressshutdown!interface Serial1/3no ip addressshutdown!interface Vlan1no ip addressshutdown!router eigrp 24network 192.168.1.0network 172.16.0.0network 172.18.0.0auto-summary!ip classless!!!!!line con 0line vty 0 4password yangyulogin!!end三、配置简单的ACL１、配置ACL 限制远程登录（telnet）到路由器的主机yangyu-R0#config tEnter configuration commands, one per line. End with CNTL/Z.yangyu-R0(config)#access-list 1 permit host 192.168.2.2 /路由器yangyu-R0只允许192.168.2.2 远程登录(telnet)yangyu-R0(config)#line vty 0 4yangyu-R0(config-line)#access-class 1 inyangyu-R0(config-line)#其它两个路由器也可依照上文配置。

cisco ACL配置详解ACL(Access Control List，访问控制列表)技术从来都是一把双刃剑，网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。

如何将一个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。

A公司的某位可怜的网管目前就面临了一堆这样的问题。

A公司建设了一个企业网，并通过一台路由器接入到互联网。

在网络核心使用一台基于IOS的多层交换机，所有的二层交换机也为可管理的基于IOS的交换机，在公司内部使用了VLAN技术，按照功能的不同分为了6个VLAN。

分别是网络设备与网管(VLAN1，10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部（VLAN4）、市场部(VLAN5)、研发部门（VLAN6），出口路由器上Fa0/0接公司内部网，通过s0/0连接到Internet。

每个网段的三层设备（也就是客户机上的缺省网关）地址都从高位向下分配，所有的其它节点地址均从低位向上分配。

该网络的拓朴如下图所示：自从网络建成后麻烦就一直没断过，一会儿有人试图登录网络设备要捣乱；一会儿领导又在抱怨说互联网开通后，员工成天就知道泡网；一会儿财务的人又说研发部门的员工看了不该看的数据。

这些抱怨都找这位可怜的网管，搞得他头都大了。

那有什么办法能够解决这些问题呢？答案就是使用网络层的访问限制控制技术――访问控制列表（下文简称ACL）。

那么，什么是ACL呢？ACL是种什么样的技术，它能做什么，又存在一些什么样的局限性呢？ACL的基本原理、功能与局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

实验4:配置实现访问控制列表ACL一、实验目的1.熟练掌握2种访问控制列表的配置实现技术。

特别掌握ACL的配置方法：2.掌握使用show access-list、show access-lists、show ip interface[接口名]等命名对路由器ACL列表是否创建及其内容的各种查看与跟踪：3.能按要求利用Cisco Paket Tracer V5.00模拟配置工具绘制出本实验网络拓扑图，并能实现拓扑图物理连接：4.熟悉2种ACL的配置方法及其基本操作步骤；掌握在存根网路种利用ACL将路由器配置为包过滤防火墙方法。

二、实验环境/实验拓扑1、每人一机，安装并配置Cisco Packet Tracer V5.00 模拟配置工具；2、在Cisco Packet Tracer 5.00 模拟配置器中通过添加和连接设备构建出来本实验的相应拓扑；本实验的网络拓扑示意图如图1所示：三、实验内容1.每人一机，安装并配置Cisco Packet Tracer V5.00 模拟配置工具；2.用Cisco Paket Tracer V5.00模拟配置工具绘制出本实验网络拓扑图3.逐个单击网络拓扑图中的每台设备，进入该设备的命令行交互操作，分别配置实现标准ACL及扩展ACL；4.show access-list、show access-lists、show ip interface[接口名]等命名对路由器ACL列表是否创建及其内容的各种查看与跟踪：5.利用ping，traceroute，telnet，debug 等相关命令，进行网络连通性检查和配置结果检查。

四、实验步骤Step1:选择添加3个PC-PT设备，2个2950-24 Switch交换机设备，2个2621XM路由器设备，2个Server-PT服务器设备至逻辑工作空间；（提示：2621XM路由器需要断电后接插WIC-2T模块才有广域网互联用的高速同步串口）Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数；(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数；(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200)Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数；(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200)Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数；(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1)Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数；(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)Step7:将Server0的显示名称改为DNS Server；将Server1的显示名称改为Web Server；Step8:将2621XM Router0路由器的主机名命名为R1；将2621XM Router1路由器的主机名命名为R2；（提示：注意命名顺序和原设备下标应对应）Step9:用正确的连接线缆将PC0、PC1分别连接到2950-24 Switch0交换机的Fastethernet0/2、Fastethernet0/4端口；Step10:用正确的连接线缆将2950-24 Switch0交换机的Fastethernet0/8端口连接到R1的Fastethernet0/0端口；Step11:用正确的连接线缆将PC2、DNS Server分别连接到2950-24 Switch1交换机的Fastethernet0/2、Fastethernet0/4端口；Step12:用正确的连接线缆将2950-24 Switch1交换机的Fastethernet0/8端口连接到R1的Fastethernet0/1端口；Step13:用正确的连接线缆将R1的Serial0/0端口连接到R2的Serial0/0端口；（提示：注意DCE/DTE端的划分：本题设定R2为其两边的路由器提供时钟速率，即：时钟频率在R2上配）Step14:用正确的连接线缆将R2的Fastethernet0/0端口连接到WebServer的Fastethernet端口；Step15:配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 1.1.1.3、子网掩码: 255.255.255.0、激活端口: no shutdown）Step16:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 2.2.2.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step17:配置R1的Serial0/0端口；（IP地址、子网掩码、封装W AN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step18:配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装W AN协议帧格式：encap PPP、激活端口：no shut）Step19:配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 4.4.4.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step20:测试当前各PC设备至各节点的连通性并记录下来。