2014访问控制列表.docVIP

访问控制列表AccessList 路由器使用访问控制列表（ACL）来识别数据流，然后对其进行过滤、加密、分类或转换，以更好地管理和控制网络的功能。标准访问列表：编号1-99或1300-1999，只检查分组的源地址，允许或禁止整个协议簇的分组通过。扩展访问列表：编号100-199或2000-2699，检查分组的源地址、目标地址、协议、端口号和其他参数。重点：1、入站访问列表的效率比出站访问列表高；2、路由器按顺序自上而下地处理访问列表中的语句；3、将具体条件放在一般性条件前，将常发生的条件放在不常发生的条件前；4、访问列表的最后有一条隐式的deny语句（access-list 1 deny any），分组将被禁止通过；5、新添的语句总被放在访问列表末尾，隐式的前面；6、使用编号访问列表时不能有选择性的删除其中一条语句，但使用名称访问列表可以（IOS11.2以上）；7、在每个接口的每个方向上针对每种协议的访问列表只能有一个，同一个接口上可以有多个访问列表，但必须是针对不同协议的。等价写法:access-list 1 deny = access-list 1 deny host access-list 1 permit 55 = access-list permit any拒绝访问上的telnet服务，其余主机可以：rt(config)#access-list 101 deny tcp host host eq telnetrt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数，y为奇数时允许，其他拒绝：rt(config)#access-list 1 permit 54rt(config)#access-list 1 deny 55命名列表：rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 54rt(config-std-nacl)#deny 55 access-list 有关 收藏 Chapter9 Managing Traffic with Access Lists 　　Introduction to Access Lists 　　访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则: 　　1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行 　　2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去 　　3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃 　　2种主要的访问列表: 　　1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定　 　　2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定 　　利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种: 　　1.inbound ACL:先处理,再路由 　　2.outbound ACL:先路由,再处理 　　一些设置ACL的要点: 　　1.每个接口,每个方向,每种协议,你只能设置1个ACL 　　2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部 　　3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表) 　　4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句 　　5.记得创建了ACL后要把它应用在需要过滤的接口上 　　6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包 　　7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方 　　Standard Access Lists 　　介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如: 55,这个告诉router前