路由器IP访问控制列表的功能及其配置命令

》路由器IP访问控制列表(Access Control List,ACL)

       通过路由器提供的访问控制列表可以根据一些准则过滤不安全的数据包，如攻击包、病毒包等，以保证网络的可靠性和安全性。ACL适合于所有网络层协议，如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的，但实际网络应用中，特别是在Internet上，都使用TCP/IP协议，因此基于IP协议的ACL的应用即为普遍。

       》IP访问控制列表的主要功能

            #过滤流入和流出路由器接口的数据包。

            #带宽控制、控制对虚拟终端（VTY）的访问（Telnet）

            #限定路由更新内容、重新分配路由、触发按需拨号（Dial-on-Demand Routing,DDR）呼叫

            #限制诊断（debug）输出和为质量保证服务（QoS）识别、分类流量等。

      》IP访问控制列表的过滤准则

            ACL提供了基于源地址、目的地址、各种协议和端口号的过滤准则。

      》IP访问控制列表的分类

         ）标准访问控制列表（IP StandardAccess Lists）

             只能检查数据包的源地址，根据源网络、子网或主机的IP地址来决定对数据包的过滤，比如拒绝接收还是允许接收。例：当需要配置对虚拟在终端（VTY）的访问控制权限，可以使用标准访问控制列表，设定凡是来自网络管理员的IP地址可以允许通过vty line远程登录到路由器，而来自所有其它地址的数据爆豆拒绝通过vty line 进入路由器。标准访问控制列表的表号范围是1~99，扩展的表号是1300~1999。

        ）扩展访问控制列表（IP ExtendedAccesss Lists）

            可以检查胡举报的源地址和目的地址，根据源网络或目的网络、子网、主机的IP地址决定数据包的过滤操作，还可以检查指定的协议，根据数据包头中的协议类型进行过滤，如IP协议、TCP协议、和UDP协议等。例：在发生利用ICMP协议攻击网络的情况下，可以使用扩展访问控制列表设置拒绝所有ICMP协议的数据包通过路由器。此外还可以检查端口号，根据端口号对数据包进行过滤。例：为防止“冲击波”蠕虫病毒的传播，可以使用设定拒绝TCP协议的4444端口的所有数据包通过路由器。由于扩展访问列表具有更强的功能、更灵活的配置、更精确的控制和更好的扩展性等优点，因此应用广泛。扩展访问控制列表的表号范围是100~199，扩展的表号是2000~2699。

 

》配置IP访问控制列表

     ip访问控制列表是一个连续的列表，至少有一个“permit”(允许)语句和一个或多个“deny”(拒绝)语句组成。IP访问控制列表用名字（name）或表号（number）标识和引用，而配置IP访问控制列表的首要任务就是使用access-list或ip access-list命令，定义一个访问控制列表。access list命令要求只能使用表号标识列表，在建立控制列表的同一语句中，同时配置过滤规则；而ip access-list命令，既可以使用表号，也可以使用名字标识一个访问控制列表。在访问控制列表建立并配置号规则之后，列表并不能马上生效，必须将控制列表应用于一个接口、一个VTY line或被其他命令引用之后，列表才能生效。特别要注意的是ACL语句的顺序，ACL按照条件语句的顺序从第一条开始执行，数据包只有在跟第一个判断条件不匹配时，才能被交给ACL中的下一条件语句进行比较。

 

      》配置访问控制列表的表号和名字

          表号用数字表示，名字用字符串标识。不同协议、不同种类的ACL，其表号的范围也是不同的。