思科ACL详细教程及实验详解.docx

简介ACL(Access Control List 访问控制列表)是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL的定义也是基于每一种被动路由协议的，且适用于所有的被动路由协议(如IP、IPX、Apple Talk等)，如果路由器接口配置成为三种协议(IP、Apple Talk和IPX)，那么必须定义三种ACL来分别控制这三种协议的数据包。ACL的作用ACL可以限制网络流量、提高网络性能；提供网络安全访问的基本手段；可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞，应用范围很广，如：路由过滤、Qos、NAT、Router-map、VTY等。ACL的分类根据过滤层次：基于IP的ACL(IP ACL)、基于MAC的ACL(MAC ACL)，专家ACL(Expert ACL)。根据过滤字段：标准ACL(IP ACL、MAC ACL)、扩展ACL(IP ACL、MAC ACL、专家ACL)。根据命名规则：表号ACL、命名ACL。说明：标准型ACL功能非常简单；而扩展型ACL功能非常强大，匹配的更详细，对路由器等网络设备的性能要求更高，或者对于网速的拖慢更明显，组网时需要酌情使用。ACL的工作原理ACL的执行按照列表中条件语句的顺序从上到下、逐条依次判断执行。如果一个数据包的报头跟表中某个条件判断语句相匹配，则不论是第一条还是最后一条语句，数据包都会立即发送到目的端口，那么后面的语句将被忽略，不再进行检查。当数据包与前一个判断条件不匹配时，才被交给下一条判断语句进行比较。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃，因为在每个ACL的最末尾都隐含一条为“拒绝所有”的语句。但是ACL并不能对本路由器产生的数据流量进行控制。ACL遵循的规范和原则1.ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL都是通过ACL表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错。2.一个ACL的配置是基于每种协议的每个接口的每个方向。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了两种协议栈IP和IPX(那么路由器的一个接口上可以配置IP、IPX两种协议)，每种协议进出两个方向，共四个ACL。3.ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其它条件判断语句。4.最有限制性的语句应放在ACL语句的首行。把最有限制性的语句放在ACL语句中靠上的位置或者限制性不强的语句前面，以保证位于前面的语句不会否定后面语句的作用效果；把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。5.尽量考虑将扩展ACL放在靠近源的位置上，保证被拒绝的数据包尽早拒绝，避免浪费带宽；另外，尽量使标准ACL靠近目的，由于标准ACL只使用源地址，如果将其靠近源会阻止数据包流向其它端口。6.允许的语句少，先允许后拒绝所欲；拒绝的语句少，先拒绝后允许所有。7.在标准ACL里，ACL语句不能被逐条删除，只能一次性删除整个ACL。并且新语句只能被添加到ACL的末行，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。8.在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后再指明ACL是应用于接口进方向(流入数据)还是接口出方向(流出数据)。在接口上应用一个不存在的ACL是不可能的。9.在ACL的最后，隐含一条“全部拒绝”的命令，所以在ACL里一定至少有一条“允许”的语句。10.ACL只能过滤穿过本路由器的数据流量，不能过滤由本路由器上发出的数据包。11.路由器接口收到数据包时，应用在接口in方向的ACL起作用，数据包被该ACL允许后，路由器才会对数据包进行路由处理；在数据包被路由选择交付到出站接口时，应用在接口out方向的ACL起作用，对接口发送出去的数据进行检查。相比之下，入站ACL比出站ACL更加高效。3P原则：每种协议(Per Protocol)的每个接口(Per Interface)的每个方向(Per Direction)只能配置一个ACL。每种协议一个ACL：要控制接口上的流量，必须为接口上启用的每种协议定义相应的ACL。每个方向一个ACL：一个ACL只能控制接口上一个方向的流量。要控制入站和出站流量，必须分别定义