ACL解析

1. 什么是ACL？

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

 

2. ACL有什么样用处？

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

 

3. ACL的3p规则

记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL：

　　每种协议一个 ACL 要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

　　每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量，必须分别定义两个 ACL。

　　每个接口一个 ACL 一个 ACL 只能控制一个接口（例如快速以太网 0/0）上的流量。

　　ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL — 协议数 (3) 乘以方向数 (2)，再乘以端口数 (2)。

 

4. ACL相关规范

　（1）ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。

　　（2）一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。

　　（3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。

　　（4）最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。

　　（5）新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。

　　（6）在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。

　　（7）ACL语句不能被逐条的删除，只能一次性删除整个ACL。

　　（8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。

　　（9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。

　　（10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。

　　（11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。　

 

5. access-list

控制访问列表有两种：标准的控制访问列表和扩展的控制访问列表。

•标准

检查源地址

通常允许、拒绝的是完整的协议

能够对源地址进行过滤，是一种简单，直接的数据控制手段

•扩展

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂

控制访问列表的一般用法：

•限制对网络的FTP访问

•禁止一个子网到另一个子网的访问

•允许规定主机Telnet访问路由器

如：不允许指定的主机TELNET访问

访问列表的配置指南:

•访问列表的编号指明了使用何种协议的访问列表

•每个端口、每个方向、每条协议只能对应于一条访问列表

•访问列表的内容决定了数据的控制顺序

•具有严格限制条件的语句应放在访问列表所有语句的最上面

•在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句

•先创建访问列表，然后应用到端口上

•访问列表不能过滤由路由器自己产生的数据

标准访问列表的一般配置举例：

Router#

Router#configure terminal

Router(config)#

Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255

配置的访问列表是允许来自网络172.16.2.0的流量

•Router#configure terminal

•Router(config)#

•Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255

•Router(config)#access-list 2 permit any

•Router(config)#int s0

•Router(config-if)#ip access-group 2 out

•Router(config-if)#

禁止来自网络172.16.3.0的流量!!!

扩展访问列表的一般配置举例：

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

access-list 101 permit ip any any

(implicit deny all)

(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)

•拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0

•允许其它数据

access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

access-list 101 permit ip any any

(implicit deny all)

•拒绝子网 172.16.4.0 内的主机使用路由器的端口建立Telnet会话

•允许其它数据

 

我们来比较一下标准的和扩展的异同：

标准：

基于源地址

允许和拒绝完整的

TCP/IP协议

编号范围 1-99和1300-1999

扩展：

基于源地址和目标地址

指定TCP/IP的特定协议

和端口号

编号范围 100-199和2000-2699

我们指定特定的主机时一般用通配符掩码指明，下面我举几个例子：

例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host (host 172.30.16.29)

所有主机: 0.0.0.0 255.255.255.255 可以用 any 简写

下面举一个简单的例子：
R>en

password:

R#conf t

R(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 any eq telnet      // 禁用从192.168.2.0来的telnet连接

R(config)# interface fastethernet 0/0

R(config-if)# ip access-group 101 out

至此，就成功配置了。最后别忘了wr保存一下哦。