第11章：ACL访问控制列表

第11章、访问控制列表FDDI172.16.0.0172.17.0.0TokenRingInternet管理网络中逐步增长的IP数据当数据通过路由器时进行过滤为什么要使用访问列表访问列表的应用•允许、拒绝数据包通过路由器•允许、拒绝Telnet会话的建立•没有设置访问列表时，所有的数据包都会在网络上传输•访问控制列表仅对穿越的数据包有效虚拟会话(IP)端口上的数据传输数据包过滤当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃.ACL可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”：源IP地址目的IP地址ICMP消息类型ACL也可以提取上层信息并根据规则对其进行测试。上层信息包括：TCP/UDP源端口TCP/UDP目的端口数据包过滤ACL工作原理ACL工作原理隐含的“拒绝所有流量”条件语句•ACL要么配置用于入站流量，要么用于出站流量.•入站ACL传入数据包经过处理之后才会被路由到出站接口。入站ACL非常高效，如果数据包被丢弃，则节省了执行路由查找的开销。当测试表明应允许该数据包后，路由器才会处理路由工作.•出站ACL传入数据包路由到出站接口后，由出站ACL进行处理.7路由器对访问控制列表的处理过程匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含拒绝数据包垃圾桶YYYYYYNNN匹配下一步拒绝拒绝拒绝CiscoACL的类型有两类CiscoACLs,标准的和扩展的.–标准ACLs:标准ACL根据源IP地址允许或拒绝流量.–扩展ACLs:扩展ACL根据多种属性.标准访问列表和扩展访问列表比较标准扩展基于源地址基于源地址和目标地址允许和拒绝完整的TCP/IP协议指定TCP/IP的特定协议和端口号编号范围100到1992000-2699编号范围1到991300-19992、配置标准ACL输入条件语句值得注意:您应该将最频繁使用的ACL条目放在列表顶部.您必须在ACL中至少包含一条permit语句，否则所有流量都会被阻止.Forexample,图中的两个ACL（101和102）具有相同的效果.ACL通配符掩码any和host关键字将标准ACL应用到接口配置标准ACL之后，可以使用ipaccess-group命令将其关联到接口:Router(config-if)#ipaccess-group{access-list-number|access-list-name}{in|out}将标准ACL应用到接口使用ACL控制VTY访问：(把定义的规则用到相应的vty进程下）access-class命令的语法是:access-classaccess-list-number{in|out}编辑编号ACL对ACL添加注释：监控和检验ACLsshowaccess-lists3、配置扩展ACL扩展ACLs为了更加精确地控制流量过滤，您可以使用编号在100到199之间以及2000到2699之间的扩展ACL（最多可使用800个扩展ACL）。您也可以对扩展ACL命名.扩展ACLs测试端口和服务将扩展ACL应用于接口4、配置命名ACL问题无论是标准还是扩展ACL,删除一句就会删除所有的,也就是几乎不能修改?命名ACL是创建标准或扩展ACL的另一中方法，可以删除任一句创建命名扩展ACL标准命名ACL(config)#ipaccess-liststandardabc(config)#deny1.1.1.10.0.0.0(config)#permitany扩展命名ACL(config)#ipaccess-listextendedabc(config)#denytcp1.1.1.10.0.0.02.2.2.00.0.0.255eq80(config)#permitanyany3ACL配置注意点访问列表配置要点：1.访问列表的编号指明了使用何种协议的访问列表2.访问列表的内容决定了数据的控制顺序3.具有严格限制条件的语句应放在访问列表所有语句的最上面4.在访问列表的最后有一条隐含声明：denyany－每一条正确的访问列表都至少应该有一条允许语句5.先创建访问列表，然后应用到端口上6.访问列表不能过滤由路由器自己产生的数据，只对穿越的数据包有效ACL的放置位置每个ACL都应该放置在最能发挥作用的位置。基本的规则是：–将扩展ACL尽可能靠近要拒绝流量的源。这样，才能在不需要的流量流经网络之前将其过滤掉.–因为标准ACL不会指定目的地址，所以其位置应该尽可能靠近目的地.