访问控制列表ACL的配置与使用文档格式.docx

访问控制列表ACL的配置与使用文档格式.docx

《访问控制列表ACL的配置与使用文档格式.docx》由会员分享，可在线阅读，更多相关《访问控制列表ACL的配置与使用文档格式.docx（6页珍藏版）》请在冰豆网上搜索。

而扩展型ACL就可以对源IP、目的IP、协议号（判断tcp/udp/icmp等）、源端口号、目的端口号、QoS参数（tos、precedence）等参数来进行定义,同时在匹配时,还可以根据路由器系统时间（time-range）来变化、还可以选择是否生成日志（log）等,功能非常强大。

显然标准型ACL功能非常简单,而扩展型ACL功能非常强大;

但是功能越强大,匹配的越详细,对于路由器等网络设备的性能要求越高,或者对于网速的拖慢越明显。

组网时需要酌情使用。

不过有一点,两种类型的ACL在原理上是完全一致的。

标准型ACL只能匹配源IP地址,在实际操作中,有三种匹配方式:

1、any,任意地址

2、<

net>

<

mask>

指定ip网段

3、src_range,指定ip地址范围

配置模板:

ipaccess-liststandard<

name>

//建立一个标准型的ACL,名字自定

{permit|deny}any

{permit|deny}<

network>

<

net-mask>

{permit|deny}src_range<

start-ip>

end-ip>

例1:

我们需要设置某局域网中只有192.168.1.0网段的用户能够上网（理论上有254个用户）,那么应该是

ipaccess-liststandardtest

permit192.168.1.0255.255.255.0

denyany（隐含生效,无需配置）

例2:

我们需要设置某局域网中只有192.168.1.2~192.168.1.80的用户能够上网（理论上有79个用户）,本网段的其他用户无法上网,那么应该是

permitsrc_range192.168.1.2192.168.1.80

denyany（隐含生效）

例3:

我们需要让某局域网中只有192.168.1.0网段用户上网,但是192.168.1.33这个ip地址的用户要禁止（财务禁止上网）（理论上有253个用户）,那么应该是

deny192.168.1.33255.255.255.255

注意:

例3中,要表示单个主机的话,掩码必须是4个255,即32位掩码;

同时所有的例子中,各个条目的先后顺序不能搞错,想想看为什么?

扩展型ACL可匹配的条目比较多,前面已经说过,但世纪上最常用的项目也就是源、目的IP,源、目的端口号,以及ip协议号（种类）这5种,这5种就可以用来满足绝大多数的应用。

由于匹配的条目比较多,在一个条件中,这些项目也是有前后顺序的,为:

协议号,源ip地址,源端口号,目的ip地址,目的端口号;

其中,协议号必须写（ip、icmp、tcp、udp等）;

源ip地址也必须写,其表示方式也有三种,与标准acl相同（如果不想匹配,以any来代替）;

源端口号可以不写,表示any;

目的ip地址必须写;

目的端口号必须写（当协议号为tcp/udp时,源和目的端口号中至少应当写一个）

ipaccess-listextended<

{permit|deny}{ip|icmp|tcp|udp}{any|network|src_range}[src_port]{any|network|src_range}[dst_port]

网络中除了正常的web访问、邮件收发,其他所有的应用都要禁止

ipaccess-listextendedtest

permittcpanyanyeq80

permittcpanyanyeq25

permittcpanyanyeq110

denyipanyany（隐含生效,后面不再贴出来了）

禁止本网（192.168.1.0）到172.16.11.0网段的访问,其他的不受限制

denyip192.168.1.0255.255.255.0172.16.11.0255.255.0.0

permitipanyany（本条必须写,想想看为什么）

网络中,要禁止所有用户去ping、telnet、http访问某服务器（dns服务器,ip为192.168.1.3）,但要其正常提供服务

denyicmpany192.168.1.3255.255.255.255

denytcpany192.168.1.3255.255.255.255eq23

denytcpany192.168.1.3255.255.255.255eq80

permitipanyany

在设置扩展型ACL时,要特别注意各个条件之间的关系,如果是“包含”的话,要把范围小的条目写在前面。

常见的包含关系例如:

icmp包含tcp、udp和icmp;

192.168.0.0255.255.0.0包含192.168.1.0255.255.255.0

192.168.1.0255.255.255.0包含range192.168.1.1192.168.1.10

不指定端口（portany）包含具体指定的端口,如tcp80

按照前面的介绍,我们了解了ACL的基本原理、配置使用和常见分类,但是他们有什么用呢?

从配置的角度来看,上面的ACL写好之后,啥用都没有。

原因是因为没有调用。

具体而言,由哪个模块来调用,就决定了它将起到什么作用,这也是ACL应用广泛的根本原因。

常见的调用ACL的模块有:

包过滤:

ipaccess-group

网络地址转换:

NAT

策略路由:

PBR

ip服务质量:

QoS

动态路由过滤:

RIP/OSPF等

但作为最基本的应用,还是access-group。

其调用方法非常简单,但关键要确定两个因素:

1、具体的接口

一般选择什么接口呢?

一般的原则是离开要被控制的主机更近的那个口。

如:

PCA--------<

F0/0>

Router<

F0/1>

--------ServB

在这个逻辑拓扑中,要禁止PCA去访问ServB,那么显然在F0/0口上调用更加合适;

2、方向

虽然有in和out两种方向可选,但我们建议使用in方向。

注意,这里的方向跟两个主机之间的源、目的地址相对关系有关。

如上面的逻辑拓扑中,如果是F0/0的in方向上,PCA是源;

而在F0/1的in方向,ServB则是源。

使用时,请一定要注意

interfacefastethernet0/0

ipaccess-group<

in

一个接口的一个方向上只能同时调用一个ACL条目!

!

使用时的若干注意点:

在不影响网络正常运行,且能够达到预期目的的情况下,应当做到

1、ACL的条目数尽量少（建议总的数量不要超过10条）

2、合并ACL条目

如denyip192.168.1.0255.255.255.0any和deny192.168.2.0255.255.255.0可以合并为192.168.0.0255.255.255.192

3、尽量选择ACL的in方向调用

4、注意ACL中有隐含生效的denyipanyany（不用配置）

denyip192.168.1.11255.255.255.255

denyip192.168.1.22255.255.255.255

这个acl的作用就是禁止所有的ip进行通讯。

要改变这种情况的话,需要在最后增加一个permitipanyany。

博达路由器上面还有一种特殊的ACL,名为FastAccess,它相当于一种另外的“标准型”访问列表,它只能判断TCP、UDP、icmp协议的目的端口号。

这种ACL只适用于BDCOM路由器,通常用来禁止一些危险的、常见的病毒传播端口等。

FastAccess这种ACL的基本原理跟前面基本一致,只是可匹配的项目种类有所不同。

且只能设置为deny策略,不能设置为permit（不deny就是permit）,且没有默认隐含deny的规则。

下面是配置模板:

interfaceFastethernet0/0//接口模式中配置

ipfastaccessdenytcp135

ipfastaccessdenytcp139

ipfastaccessdenytcp445

ipfastaccessdenytcp1025

ipfastaccessdenytcp1433

ipfastaccessdenytcp4444

ipfastaccessdenytcp5554

ipfastaccessdenytcp9996

ipfastaccessdenyudp69

ipfastaccessdenyudp1434

前面讲的都是IPACL,是属于网络层次的第三层,即网络层。

一般只是路由器、三层交换机上才可能会这样设置,当然防火墙设备可能也会有类似的机制,但通常多位GUI图形化配置页面。

那么如果要在二层交换机上面配置ACL来过来一些用户流量该怎么做呢?

显然因为层次不同的原因,IPACL就不能用了,这需要用到另外的一种MACACL,即二层访问控制列表macacl的原理跟一楼的基本原理完全一致,但它只能匹配源和目的mac地址。

另外,由于macacl相对较为简单,就不在区分基本和扩展等类型了。

下面是配置模板,大家一看就明了:

macaccess-list<

permit{host<

src.MAC.Addr>

|any}{host<

dst.MAC.Addr>

|any}deny{host<

|any}interfaceFastethernet0/1

macaccess-group<

1、macacl中同样有隐含的denyanyany规则存在,使用时要注意

2、macacl在调用时没有方向参数的,原因是默认在in方向生效。