訪問控制列表

ACL（訪問控制列表）

兩大主要功能

• 流量控制
• 匹配感興趣流量

類型

• 標準的ACL：匹配路由條目，做流量控制（范圍太廣，一般不用）

? 只能根據源地址做過濾

? 針對整個協議采取相關動作（允許或禁止）

• 擴展的ACL：做流量控制r能根據源、目的地址、端口號等等進行過濾

? 能允許或拒絕特定的協議

入方向的接口ACL：先檢查ACL，再查路由表

出方向的接口ACL：先檢查路由表，再查ACL

表示形式

• 編號的ACL

Numbered Standard:1-99,1300-1999(只能匹配源地址)

Numbered Extended:100-199,2000-2699(可以匹配協議)

• 命名的ACL

標準訪問控制列表的配置

1.標準訪問控制列表

標準ACL能通過使用IP包中的源IP地址進行簡單的源地址過濾。

配置標準ACL需要在全局配置模式下進行，命令格式如下：

Router(config)# access-list

ACL_number {permit|deny}

source_address dcard-mask

? ACL_number:ACL的編號，取值范圍為1-99

? 關鍵字permit和deny:表示允許或拒絕通過

? 參數source address:一個網絡地址或一個主機地址

? 參數dcard-mask：通配符掩碼（反掩碼），與子網屏蔽碼的方式相反。

“no access-list access-list-number”將會刪除整個ACL列表

2.應用訪問控制列表到具體的端口上

訪問控制列表配置完成之后，要應用到路由器的具體端口上才能起作用。首先要進入要添加啟用訪問控制列表的端口，然后再執行以下命令：

Router(config-if) # ip access-group

ACL_number {in|out}

? ACL_number :需要應用的ACL號

? in|out：對路由器而言，數據流的方向

“no ip access-group access-list-number"可移除接口上應用的訪問列表

通配符

0：表示嚴格匹配

1：表示無所謂

舉例

只禁止A網段中的192.168.1.1-192.168.1.30 訪問外網

[解析]192.168.1.1-30

1的二進制為0000 0001

2的二進制為0000 0010

3的二進制為0000 0011

...

30的二進制為0001 1110

所以，通配符位00011111為31

router(config)#access-list 1 deny 192.168.1.0 0.0.0.31
router(config)#access-list 1 permit any
router(config)#interface e0                         /*配置標準以太接口的命令*/
router(config-if)#ip access-group 1 in

擴展訪問控制列表的配置

Router(config)#

access-list access-list-number {permit|deny} protocol source source-wildcard

[operator port] destination destination-wildcard [operator port] [established] [log]

Router(config)#

ip access-group access-list-number {in|out}

舉例

只禁止A網段中的192.168.1.1-192.168.1.30 訪問B網段的服務器2.200

router(config)#access-list 100 deny ip 192.168.1.0 0.0.0.31 host 192.168.2.200
router(config)#access-list 100 permit ip any any
router(config)#interface e0
router(config-if)#ip access-group 1 in

命名訪問控制列表的配置

Router(config)#

ip access-list {standard|extended} name

Router(config{std- | ext-nacl})#

[sequence-number] {permit | deny} {ip access list test conditions} {permit |deny} {ip access list test conditions}

• if not configured,sequence numbers are generated automatically starting at 10 and incrementing by 10
• no sequence number removes the specific test from e named ACL

Router(config-if)#

ip access-group access-list-number {in | out}

查看

Router#show access-lists