acl1

ACL ACL

运行简介

访问控制列表

w w

w

.c w n

p c h

i n a .o

r g

为什么要使用ACL ？

过滤：通过过滤经过路由器的数据包来管理IP 流量类标流特殊

分类：标识流量以进行特殊处理w w

w

.c w n

p c h

i n a .o

r g

的应用过滤

ACL 的应用：过滤允许或拒绝经过路由器的数据包

允许或拒绝经过路由器的数据包。 允许或拒绝来自路由器或到路由器的vty 访问。所有数据包会发往网络的所有部分

如果没有ACL ，所有数据包会发往网络的所有部分。w w

w

.c w n

p c h

i n a .o

r g

的应用分类

ACL 的应用：分类根据数据包测试情况对流量进行特殊处理

w w

w

.c w n

p c h

i n a .o

r g

ACL 出站ACL 运行

如果没有ACL 语句匹配，则丢弃数据包。

w w

w

.c w n

p c h

i n a .o

r g

测试步骤拒绝或允许测试步骤：拒绝或允许

w w w.c

w n

p c h

i n a

.o r g

ACL 的类型

标准ACL

–检查源地址

–通常允许或拒绝整个协议簇

扩展ACL

–检查源地址和目的地址–通常允许或拒绝特定协议和应用程序 有两种用于标识

标准ACL 和扩展ACL 的方法：

ACL –编号ACL 使用编号进行标识

–命名ACL 使用描述性名称或编号进行标识

w

w w .c w

n

p c h

i n a .o

r g

如何标识ACL

标准编号IPv4 列表(1-99) 可测试源地址的所有IP

数据包的条件。扩展范围是(1300-1999)。

扩展编号IPv4(100-199)IPv4 列表(100199) 可测试源地址和目的地址、特定TCP/IP 协议和目的端口的条件。扩展范围是(2000-2699)。

命名ACL IP ACL 用字母数字字符串（名称）标识IP 标准ACL 和扩展ACL 。

w w

w

.c w n

p c h

i n a .o

r g

IP 访问列表条目序列编号

需要Cisco IOS 12.3 版

允许使用序列编号来编辑ACL 语句的顺序

–在Cisco IOS 12.3 版之前，使用文本编辑器来创建ACL 语句，然

后将语句以正确的顺序复制到路由器中。 ACL 允许使用序列号从列表中删除单条ACL 语句–在Cisco IOS 12.3 版之前的软件中使用命名ACL 时，必须使用no {deny | permit} protocol source source-wildcard destination destination wildcard 来删除单条语句

destination-wildcard 来删除单条语句。–在Cisco IOS 12.3 版之前的软件中使用编号ACL 时，必须删除整个ACL 才能删除单条ACL 语句。

w w

w

.c w n p c h i n a .o

r g

ACL 配置的指导原则

标准或扩展代表可过滤的内容。

每个接口、协议、方向只允许有一个ACL 。

语句的顺序控制着测试因此最具体的语句位于列表顶部

ACL 语句的顺序控制着测试，因此最具体的语句位于列表顶部。

最后的ACL 测试始终是隐式拒绝其它所有语句，因此每个列表需要至少一条permit 语句。 在全局范围内创建ACL ，然后将其应用到入站流量或出站流量的接口。 ACL 可过滤经过路由器的流量或往返路由器的流量，具体取决于其应用方式

方式。 将ACL 置于网络中时：–扩展ACL 应靠近源地址–标准ACL 应靠近目的地址

w w w .c w n

p c h i n a .o r g

动态ACL

动态ACL （锁和钥匙）：想要穿越路由器的用户需要使用Telnet 来连

接路由器并通过身份验证，否则将会被拦截。

w w

w

.c w n

p c h

i n a .o

r g

自反ACL

自反ACL ：用于允许出站流量并限制入站流量，以响应来自路由器

内部的会话

w w

w

.c w n

p c h

i n a .o

r g

基于时间的ACL

基于时间的ACL ：允许根据天数和

周数控制访问

w w

w

.c w n

p c h

i n a .o

r g

通配符位：如何检查对应的地址位

0 表示匹配对应地址位的值 1 表示忽略对应地址位的值

w w

w

.c w n

p c h

i n a .o

r g

匹配

IP 子网172.30.16.0/24 至172.30.31.0/24。

用通配符位匹配IP 子网

地址和通配符掩码：172.30.16.0 0.0.15.255

w w

w

.c w n

p c h

i n a .o

r g

通配符位掩码的缩写 172.30.16.29 0.0.0.0匹配

所有地址位

使用前面有关键字

host的

IP 地址

(host 172.30.16.29)

来缩写此通配符掩码

0.0.0.0 255.255.255.255

忽略所有地址位

用关键字any

缩写表达式w w

w.c

w n

p c h

i n a

.o r g

总结

ACL 可用于IP 数据包过滤或标识流量以将其分配给特殊处理。 ACL 执行自上而下的过程，并可针对入站或出站流量进行配置。 可使用命名ACL 或编号ACL 来创建ACL 。命名ACL 或编号

ACL 可配置为标准ACL 或扩展ACL ，以确定过滤的内容。自反动态和基于时间的 自反、动态和基于时间的ACL 为标准ACL 和扩展ACL 增加了更多功能。 在通配符位掩码中，0位表示匹配对应地址位，1位表示忽略对应地址位。

w w

w .c w n p c h i n a .o r g

w w

w

.c w n

p c h

i n a .o

r g