ACL(Access Control List)访问控制列表的作用是出于安全考虑的流量控制!它可以改善网络的运行效率。在应用ACL的同时,也要付出数据包延时的代价:进出站(路由器)的流量都要接受路由器检查控制。

允许流量通过的依据是源IP地址、目的IP地址、Mac地址、协议、应用类型。

ACL的类型有:标准ACL(1-99)、扩展ACL(100-199)、命名ACL。

标准ACL:Router(config)#access-list <1-99> {permit/deny/remark} 源 IP地址。

扩展ACL:Router(config)#access-list <100-199> {permit/deny/remark} {服务}{源 IP地址} {通配符}{目的IP地址} {通配符} eq {协议名/端口号}

命名ACL:Router(config)#ip access-list {standard/extended}{name}

应用到路由器某接口:Router(config-if)#ip access-group {number/name}{out/in}。

下面我举一个小型网络的ACL配置实例:

223241553.jpg

IP参数:

路由器0左端口f0/0:10.10.10.1、路由器0右端口f0/1:11.11.11.1

PC:10.10.10.10、10.10.10.16、11.11.11.11、11.11.11.14、11.11.11.15

服务器:10.10.10.13

安全策略:1.禁止11.11.11.15访问10.10.10.13的ftp

2.禁止10.10.10.16访问11.11.11.0网段

3.10网段只允许10.10.10.15telnet路由器

4.限制PC(11.11.11.10)的流量在本网段

>路由器0的ACL配置<

1.禁止11.11.11.15访问10.10.10.13的ftp

R0(config)#access-list 100 permit any any

R0(config)#access-list 100 deny tcp 11.11.11.15 0.0.0.0 10.10.10.13 0.0.0.0 eq 20

R0(config)#access-list 100 deny tcp 11.11.11.15 0.0.0.0 10.10.10.13 0.0.0.0 eq 21

R0(config)#int f0/0

R0(config-if)#ip access-group 100 out

2.禁止10.10.10.16访问11.11.11.0网段

R0(config)#access-list 1 deny 10.10.10.16

R0(config)#access-list 1 permit any

R0(config)#int f0/1

R0(config-if)#ip access-group 1 out

3.10网段只允许10.10.10.15telnet路由器

R0(config)#access-list 100 permit tcp 11.11.11.15 0.0.0.0 any eq 23

R0(config)#int f0/1

R0(config-if)#ip access-group 100 in

要对路由器进一步配置的话,路由器还需要做一下配置:

R0(config)#enable password {密码}

R0(config)#line vty 0 15

R0(config-line)#password {密码}

R0(config-line)#login

4.限制PC(11.11.11.10)的流量在本网段

R0(config)#access-list 1 deny 10.10.10.10

R0(config)#int f0/0

R0(config-if)#ip access-group 1 in

配置完所有的参数后,记得保存配置,以防突然断电后运行配置丢失:

R0(config)#copy running-config startup-config