ACL ACL
运行简介
访问控制列表
w w
w
.c w n
p c h
i n a .o
r g
为什么要使用ACL ?
过滤:通过过滤经过路由器的数据包来管理IP 流量类标流特殊
分类:标识流量以进行特殊处理w w
w
.c w n
p c h
i n a .o
r g
的应用过滤
ACL 的应用:过滤允许或拒绝经过路由器的数据包
允许或拒绝经过路由器的数据包。 允许或拒绝来自路由器或到路由器的vty 访问。所有数据包会发往网络的所有部分
如果没有ACL ,所有数据包会发往网络的所有部分。w w
w
.c w n
p c h
i n a .o
r g
的应用分类
ACL 的应用:分类根据数据包测试情况对流量进行特殊处理
w w
w
.c w n
p c h
i n a .o
r g
ACL 出站ACL 运行
如果没有ACL 语句匹配,则丢弃数据包。
w w
w
.c w n
p c h
i n a .o
r g
测试步骤拒绝或允许测试步骤:拒绝或允许
w w w.c
w n
p c h
i n a
.o r g
ACL 的类型
标准ACL
–检查源地址
–通常允许或拒绝整个协议簇
扩展ACL
–检查源地址和目的地址–通常允许或拒绝特定协议和应用程序 有两种用于标识
标准ACL 和扩展ACL 的方法:
ACL –编号ACL 使用编号进行标识
–命名ACL 使用描述性名称或编号进行标识
w
w w .c w
n
p c h
i n a .o
r g
如何标识ACL
标准编号IPv4 列表(1-99) 可测试源地址的所有IP
数据包的条件。扩展范围是(1300-1999)。
扩展编号IPv4(100-199)IPv4 列表(100199) 可测试源地址和目的地址、特定TCP/IP 协议和目的端口的条件。扩展范围是(2000-2699)。
命名ACL IP ACL 用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL 。
w w
w
.c w n
p c h
i n a .o
r g
IP 访问列表条目序列编号
需要Cisco IOS 12.3 版
允许使用序列编号来编辑ACL 语句的顺序
–在Cisco IOS 12.3 版之前,使用文本编辑器来创建ACL 语句,然
后将语句以正确的顺序复制到路由器中。 ACL 允许使用序列号从列表中删除单条ACL 语句–在Cisco IOS 12.3 版之前的软件中使用命名ACL 时,必须使用no {deny | permit} protocol source source-wildcard destination destination wildcard 来删除单条语句
destination-wildcard 来删除单条语句。–在Cisco IOS 12.3 版之前的软件中使用编号ACL 时,必须删除整个ACL 才能删除单条ACL 语句。
w w
w
.c w n p c h i n a .o
r g
ACL 配置的指导原则
标准或扩展代表可过滤的内容。
每个接口、协议、方向只允许有一个ACL 。
语句的顺序控制着测试因此最具体的语句位于列表顶部
ACL 语句的顺序控制着测试,因此最具体的语句位于列表顶部。
最后的ACL 测试始终是隐式拒绝其它所有语句,因此每个列表需要至少一条permit 语句。 在全局范围内创建ACL ,然后将其应用到入站流量或出站流量的接口。 ACL 可过滤经过路由器的流量或往返路由器的流量,具体取决于其应用方式
方式。 将ACL 置于网络中时:–扩展ACL 应靠近源地址–标准ACL 应靠近目的地址
w w w .c w n
p c h i n a .o r g
动态ACL
动态ACL (锁和钥匙):想要穿越路由器的用户需要使用Telnet 来连
接路由器并通过身份验证,否则将会被拦截。
w w
w
.c w n
p c h
i n a .o
r g
自反ACL
自反ACL :用于允许出站流量并限制入站流量,以响应来自路由器
内部的会话
w w
w
.c w n
p c h
i n a .o
r g
基于时间的ACL
基于时间的ACL :允许根据天数和
周数控制访问
w w
w
.c w n
p c h
i n a .o
r g
通配符位:如何检查对应的地址位
0 表示匹配对应地址位的值 1 表示忽略对应地址位的值
w w
w
.c w n
p c h
i n a .o
r g
匹配
IP 子网172.30.16.0/24 至172.30.31.0/24。
用通配符位匹配IP 子网
地址和通配符掩码:172.30.16.0 0.0.15.255
w w
w
.c w n
p c h
i n a .o
r g
通配符位掩码的缩写 172.30.16.29 0.0.0.0匹配
所有地址位
使用前面有关键字
host的
IP 地址
(host 172.30.16.29)
来缩写此通配符掩码
0.0.0.0 255.255.255.255
忽略所有地址位
用关键字any
缩写表达式w w
w.c
w n
p c h
i n a
.o r g
总结
ACL 可用于IP 数据包过滤或标识流量以将其分配给特殊处理。 ACL 执行自上而下的过程,并可针对入站或出站流量进行配置。 可使用命名ACL 或编号ACL 来创建ACL 。命名ACL 或编号
ACL 可配置为标准ACL 或扩展ACL ,以确定过滤的内容。自反动态和基于时间的 自反、动态和基于时间的ACL 为标准ACL 和扩展ACL 增加了更多功能。 在通配符位掩码中,0位表示匹配对应地址位,1位表示忽略对应地址位。
w w
w .c w n p c h i n a .o r g
w w
w
.c w n
p c h
i n a .o
r g