1、單擊訪問(wèn)控制列表(ACL )、主要內(nèi)容、一、ACL基本原理二、ACL應(yīng)用、一、ACL基本原理、一、ACL 2、ACL如何工作3、ACL 4、創(chuàng)建通配符掩碼的角色5以及驗(yàn)證ACL。 ACL是與地址和高級(jí)協(xié)議相關(guān)聯(lián)的連續(xù)許可和拒絕語(yǔ)句的集合。 ACL是應(yīng)用于路由器接口的命令列表。 這些命令將需要拒絕的數(shù)據(jù)包和可以接收的數(shù)據(jù)包通知路由器。 拒絕和接收是基于一定條件的。 應(yīng)當(dāng)接受ACL中條件的檢測(cè)，經(jīng)由接口進(jìn)行ACL所應(yīng)用的業(yè)務(wù)。 ACL適用于所有路由協(xié)議。 路由器根據(jù)ACL中指定的條件確定是轉(zhuǎn)發(fā)數(shù)據(jù)包還是丟棄數(shù)據(jù)包。 ACL不能控制該路由器生成的包，2，ACL如何工作，ACL用一系列語(yǔ)句定義了包的下

2、一個(gè)行為： 1，入站路由器接口2，路由器轉(zhuǎn)發(fā)3，出站路由器接口如果與條件語(yǔ)句匹配，則不再檢查其馀語(yǔ)句；如果不匹配，則強(qiáng)制隱式語(yǔ)句拒絕所有通信。 (默認(rèn)情況下拒絕所有通信)、ACL一致性檢查、ACL語(yǔ)句可以實(shí)現(xiàn)：1、篩選一些主機(jī)，允許或拒絕它們?cè)L問(wèn)您網(wǎng)絡(luò)的一部分2 .用戶可以訪問(wèn)FTP和HTTP等特定類型的應(yīng)用程序3、創(chuàng)建ACL的第一步驟：在全局配置模式下創(chuàng)建ACL標(biāo)準(zhǔn)ACL(ACL編號(hào)為199之間)、擴(kuò)展ACL(ACL編號(hào)為100199之間)的第二步驟：將ACL接口(輸出接口或入站接口) 通配符掩碼和IP地址成對(duì)顯示。 演示如何使用1或0作為通配符掩碼的地址位來(lái)處理相應(yīng)的IP地址位。 ACl通

3、配符掩碼與IP子網(wǎng)掩碼的行為不同。通配符掩碼位匹配、通配符any、ACL允許訪問(wèn)任意的目的地地址的情況下，通配符掩碼標(biāo)記為55.255，可由通配符any替換例如，access-list1permit0.0.0. 0255.255.255 access-list1permitany、通配符主機(jī)在ACL中不是整個(gè)IP主機(jī)地址和通配符主機(jī)，而是例如access 使用以下命令確定show IP接口顯示端口是否應(yīng)用了acl show access-lists顯示路由器上的所有acl show運(yùn)行配置，并顯示所有運(yùn)行配置信息，包括ACL配置。 二、ACL的應(yīng)用、1、A

4、CL表編號(hào)2、標(biāo)準(zhǔn)ACL 3、擴(kuò)展ACL 4、命名ACL 5、ACL的配置6、防火墻7、ACL限制telnet訪問(wèn)、1、ACL表編號(hào)、Cisco的IOS一致時(shí)許可(permit ) 標(biāo)準(zhǔn)ACL可以根據(jù)網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址允許或拒絕整個(gè)協(xié)議組，如IP。 標(biāo)準(zhǔn)ACL是在全局配置模式下使用命令access-list定義的，并被指派1-99的數(shù)字編號(hào)。 您可以將定義的ACL應(yīng)用于接口，然后定義ACL、in和out殘奧參數(shù)來(lái)控制接口中不同方向的包。 如果不設(shè)置此殘奧儀表，則缺省值為out。 標(biāo)準(zhǔn)ACL的范例定義ACL :存取清單存取清單1權(quán)限.0.0.255

5、存取。 1. 55適用于接口： IP接入組1 in IP接入組1 out，采用如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。 路由器連接兩個(gè)網(wǎng)絡(luò)段，分別為/24和/24。/24網(wǎng)絡(luò)段具有提供WWW服務(wù)的服務(wù)器，IP地址為3。 配置任務(wù)： /24除網(wǎng)段3以外禁止此計(jì)算機(jī)訪問(wèn)/24計(jì)算機(jī)。 3可正常訪問(wèn)/24。 路由器定位命令access-list1permit host 3配置ACL并允許172.16.

6、4.13的包通過(guò)。 access-list 1 deny any設(shè)置ACL，以防止所有其他IP地址進(jìn)行通信傳輸。 int E1進(jìn)入e 1端口。 IP訪問(wèn)組1 in聲明ACL 1。 如果設(shè)置了E1端口，則只允許從名為3的IP地址轉(zhuǎn)發(fā)數(shù)據(jù)包。 來(lái)自其他IP地址的數(shù)據(jù)包不能通過(guò)E1轉(zhuǎn)發(fā)。 此外，即使路由器連接網(wǎng)絡(luò)較少，也可以在E0端口上使用ip access-group 1 out命令進(jìn)行聲明，聲明結(jié)果與上述最后兩個(gè)命令的效果相同。 3、擴(kuò)展ACL和ACL提供更大的靈活性和范圍，可以檢查分組的源和目的地地址或者檢查協(xié)議類型以及TCP或UDP的端口號(hào)。 標(biāo)準(zhǔn)ACL只能接受或拒絕整個(gè)

7、協(xié)議集，而擴(kuò)展ACL可以接受或拒絕協(xié)議集中的某些協(xié)議(如允許http和拒絕ftp )。 擴(kuò)展ACL編號(hào)使用100-199。 名為、access-list 101 denytcpanyhost eq www的命令將丟棄所有主機(jī)連接到地址為的web服務(wù)(WWW)TCP的數(shù)據(jù)包。 對(duì)ACL的例子進(jìn)行了擴(kuò)展，采用了如圖所示的網(wǎng)絡(luò)結(jié)構(gòu)。 路由器連接兩個(gè)網(wǎng)絡(luò)段，分別為/24和/24。 /24網(wǎng)絡(luò)段具有提供WWW服務(wù)的服務(wù)器，IP地址為3。 配置任務(wù)：禁止計(jì)算機(jī)訪

8、問(wèn)計(jì)算機(jī)，包括其他服務(wù)器，但只能訪問(wèn)3 www服務(wù)，而不能訪問(wèn)其他服務(wù)、access-list 101 permittcpany 30.0.0 eq www設(shè)置ACL101，允許源地址為任意IP，目標(biāo)地址為172.16.4。 默認(rèn)情況下，CISCO會(huì)添加DENY ANY命令，因此ACL只寫這個(gè)語(yǔ)句即可。 int E1進(jìn)入e1端口IP訪問(wèn)組101 out后，將無(wú)法從計(jì)算機(jī)訪問(wèn).0計(jì)算機(jī)。 服務(wù)器172.16.4 .也可以是的修正計(jì)算機(jī)訪問(wèn)的修正計(jì)算機(jī)也沒(méi)有問(wèn)

9、題。 擴(kuò)展ACL的最大優(yōu)點(diǎn)是可以保護(hù)服務(wù)器。 例如，很多服務(wù)器暴露在公共網(wǎng)絡(luò)上，以便提供更好的服務(wù)。 此時(shí)，為了正常提供服務(wù)，所有端口都向外部開(kāi)放，容易招致黑客和病毒的攻擊。 在本例中，只有80個(gè)端口向外開(kāi)放。 但是，如果在沒(méi)有硬件ACL加速的情況下擴(kuò)展ACL，則會(huì)消耗大量的路由器CPU資源。 因此，在使用中低級(jí)路由器時(shí)，盡可能減少增強(qiáng)ACL的條目數(shù)量并簡(jiǎn)化到標(biāo)準(zhǔn)ACL或者集成多個(gè)增強(qiáng)ACL是最有效的方法。 另外，不管命名ACL是標(biāo)準(zhǔn)訪問(wèn)控制列表還是擴(kuò)展訪問(wèn)控制列表，在設(shè)定了ACL的規(guī)則后，發(fā)現(xiàn)其中一個(gè)規(guī)則有問(wèn)題，如果想修正或刪除，則只能刪除所有的ACL信息。 也就是說(shuō)，修改或刪除一個(gè)會(huì)影響整

10、個(gè)ACL列表。 這個(gè)缺點(diǎn)影響了我們的工作，給我們帶來(lái)了很大的負(fù)擔(dān)。 但是，可以使用基于名稱的訪問(wèn)控制列表來(lái)解決此問(wèn)題。IP訪問(wèn)列表標(biāo)準(zhǔn)ACL名稱：例如，IP訪問(wèn)列表標(biāo)準(zhǔn)軟件創(chuàng)建了一個(gè)名為softer的標(biāo)準(zhǔn)訪問(wèn)控制列表。 創(chuàng)建基于名稱的訪問(wèn)列表后，可以訪問(wèn)和配置此ACL。例如，添加三條ACL規(guī)則permit.0.0permitpermit3.3.3. 0。 如果有許多規(guī)則需要配置ACL，則可以使用基于名稱的訪問(wèn)控制列表進(jìn)行管理，以減少許多后期維護(hù)任務(wù)并隨時(shí)調(diào)整ACL規(guī)則。 5、ACL的配置、ACL過(guò)濾分組，通過(guò)丟棄不想到達(dá)目的地的分組來(lái)控制業(yè)務(wù)。 但是，網(wǎng)絡(luò)管理員能否

11、有效地減少不需要的通信量取決于他們將ACL放在哪里。 基于用于減少不必要的通信業(yè)務(wù)的通行準(zhǔn)則，網(wǎng)絡(luò)管理員應(yīng)當(dāng)盡可能地將ACL放在被拒絕的通信業(yè)務(wù)的源附近。 在實(shí)現(xiàn)圖1、2、3、4中所示TCP/IP協(xié)議的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)拒絕從RouterA的fa0/1接口到與RouterD的fa0/0接口連接的網(wǎng)絡(luò)的接入，即在網(wǎng)絡(luò)管理員使用標(biāo)準(zhǔn)ACL進(jìn)行網(wǎng)絡(luò)通信限制的情況下，由于標(biāo)準(zhǔn)ACL僅能檢查源IP地址，實(shí)際上，被檢查了源IP地址與網(wǎng)絡(luò)1的匹配的分組被丟棄，網(wǎng)絡(luò)1到網(wǎng)絡(luò)2，此處同樣，將ACL放置在路由器和路由器上也存在同樣的問(wèn)題。 只有當(dāng)網(wǎng)絡(luò)將ACL放置在連接到目標(biāo)網(wǎng)絡(luò)的路由器上時(shí)，網(wǎng)絡(luò)才能準(zhǔn)確實(shí)現(xiàn)網(wǎng)絡(luò)管理員的目標(biāo)。 由此得出了：規(guī)格ACL應(yīng)該盡可能接近目的地的結(jié)論。 網(wǎng)絡(luò)管理員可以通過(guò)使用擴(kuò)展A