访问控制列表ACL-要点总结

资料来源：北大青鸟BENET2.0课程第二学期PPT。以下内容经本人总结后作学习交流之用，可随意转载，转载请注明出处！请勿用于商业用途，否则后果自负！！！

 

访问控制列表ACL

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

-什么是访问控制列表：

       访问控制列表（ACL）：应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。

       ACL的工作原理：读取第三层及第四层包头中的信息；根据预先定义好的规则对包进行过滤。

 

-访问控制列表的作用：

       提供网络访问的基本安全手段；可用于QoS，控制数据流量；控制通信量

 

-访问控制列表工作原理：

       实现访问控制列表的核心技术是包过滤

       通过分析IP数据包包头信息，进行判断；利用4个元素定义规则：源地址；目的地址；源端口；目的端口

 

-访问控制留别入与出：

       使用命令ip access-group将ACL应用到某一个接口上：

Router(config-if)#ip access-group access-list-number {in | out}

       *在接口的一个方向上，只能应用一个access-list

 

-Deny和Permit命令：

Router(config)#access-list access-list-number {permit | deny} {test conditions}

       *permit：允许数据报通过应用了访问控制列表的接口；deny：拒绝数据包通过

 

-使用通配符any和host

       通配符any可代替<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.0 255.255.255.255

       Host表示检查IP地址的所有位

 

-访问控制列表的种类：

l         基本类型的访问控制列表：标准访问控制列表；扩展访问控制列表

l         其他种类的访问控制列表：基于MAC地址的访问控制列表；基于时间的访问控制列表

 

-标准访问控制列表

       根据数据包的源IP地址来允许或拒绝数据包；访问控制列表号从1到99

       只使用源地址进行过滤，表明是允许还是拒绝

 

-标准访问控制列表的配置

       第一步，使用access-list命令创建访问控制列表：

Router(config)#access-list access-list-number {permit | deny} source [source-wildcard] [log]

       第二步，使用ip access-group命令把访问控制列表应用到某接口

Router(config-if)#ip access-group access-list-number {in | out}

 

-扩展访问控制列表：

       基于源和目的地址、传输层协议和应用端口号进行过滤；每个调都必须匹配，才会施加允许或拒绝条件；使用扩展ACL可实现更加精确的流量控制；访问控制列表号从100到199

       使用更多的信息描述数据包，表明是允许还是拒绝

 

-部分端口号的描述和使用的协议

端口号	关键字	描述	TCP/UDP
20	FTP-DATA	（文件传输协议） FTP 数据	TCP
21	FTP	（文件传输协议） FTP	TCP
23	TELNET	终端连接	TCP
25	SMTP	简单邮件传输协议	TCP
42	NameServer	主机名字服务器	UDP
53	Domain	域名服务器（ DNS ）	TCP/UDP
69	TFTP	普通文件传输协议（ TFTP ）	UDP
80	WWW	万维网	TCP

 

-扩展访问控制列表的配置

       第一步，使用access-list命令创建扩展访问控制列表

Router(config)#access-list access-list-number {permit | deny} protocol [source source-wildcard destination destination-wildcard] [operator port] [established] [log]

 

-扩展访问控制列表操作符的含义：

操作符及语法	意义
eq portnumber	等于端口号 portnumber
gt portnumber	大于端口号 portnumber
lt portnumber	小于端口号 portnumber
neq portnumber	不等于端口号 portnumber

 

       第二步，使用ip access-group命令将扩展访问控制列表应用到某接口

Router(config-if)#ip access-group access-list-number {in | out}

 

-命名的访问控制列表：

l         标准ACL和扩展ACL中可以使用一个字母数字组合的字符串（名字）代替来表示ACL的表号

l         命名IP访问列表允许从指定的访问列表删除单个条目

l         如果天假一个条目到列表中，那么该条目被添加到列表末尾

l         不能以同一个名字命名多个ACL

l         在命名的访问控制列表下，permit和deny命令的语法格式与前述有所不同

 

-配置命名的访问控制列表：

       第一步，创建命名访问控制列表：

Router(config)#ip access-list extended ACL-name

       第二步，指定一个或多个permit及deny条件：

Router(config-ext-nacl)#{permit | deny} protocol ip-address {eq | gt | lt | neq} portnumber

       第三步，应用到接口的出入站方向

Router(config-if)#ip access-group ACL-name {in | out}

 

-查看访问控制列表：

       查看接口详细信息：

Router#show ip interface type slot/port

       查看访问列表：

Router#show access-list

 

 

*以上资料纯手工总结，难免有错误出现，欢迎指正和提出宝贵意见！！！

 

转载于:https://blog.51cto.com/newbie/57193