CCNA-ACL(访问控制列表)技术总结

acl访问控制列表实验报告ACL访问控制列表实验报告摘要：本实验报告旨在介绍ACL访问控制列表的基本概念和原理，并通过实验验证ACL在网络安全中的作用。

通过实验，我们验证了ACL对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

引言：在网络安全中，访问控制是一项重要的措施，用于保护网络资源免受未经授权的访问和攻击。

ACL访问控制列表是一种常用的访问控制技术，它可以根据预先设定的规则来控制网络流量的访问权限，从而有效地保护网络安全。

实验目的：本实验旨在通过实际操作，验证ACL访问控制列表对网络流量的控制和过滤功能，以及其在网络安全中的重要性。

实验环境：本次实验使用了一台路由器和多台主机组成的简单局域网环境。

我们将在路由器上配置ACL规则，来控制主机之间的通信权限。

实验步骤：1. 配置ACL规则：在路由器上，我们通过命令行界面配置了多条ACL规则，包括允许和拒绝某些主机之间的通信。

2. 实验验证：通过在主机之间进行ping测试和HTTP访问测试，验证ACL规则对网络流量的控制和过滤功能。

实验结果：通过实验验证，我们发现ACL访问控制列表可以有效地控制和过滤网络流量。

通过配置ACL规则，我们成功地限制了某些主机之间的通信，同时允许了其他主机之间的通信。

这表明ACL在网络安全中起着重要的作用，可以有效地保护网络资源免受未经授权的访问和攻击。

结论：ACL访问控制列表是一种重要的访问控制技术，可以有效地控制和过滤网络流量，保护网络安全。

通过本次实验，我们验证了ACL在网络安全中的重要性，以及其对网络流量的控制和过滤功能。

我们希望通过这次实验，增强对ACL技术的理解，提高网络安全意识，为网络安全工作提供参考和借鉴。

一，访问控制列表控制概述访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。

访问控制列表由一系列具有同一个访问列表号或名称的access-list语句组成。

这些access-list语句用来告诉路由器，哪些数据包可以接收，哪些数据包需要拒绝。

ACL适用于所有的路由协议，如IP、IPX、AppleTalk等。

可以在路由器或多层交换机上配置ACL，来控制对特定网络资源的访问。

1，访问控制列表的作用访问控制列表最常见的用途是作为数据包的过滤器。

其他的一些用处：①可指定某种类型的数据包的优先级，以对某些数据包优先处理（Quality of Service，服务质量）；②访问控制列表不定期可以用来识别触发按需拨号路由选择（DDR）的相关通信量；③访问控制列表也是路由映射的基本组成部分，提供对通信流量的控制。

2，访问控制列表的工作原理1) 访问控制列表的基本原理ACL使用包过滤技术，读取第３层及第４层包头中的信息，如源地址、目的地址、源端口、目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

2) 访问控制列表的处理过程如果接口上没有ACL，就对这个数据包继续进行常规处理。

如果接口应用了访问控制列表，与该接口相关的一系列访问控制列表语句组合，将会检测它：①若第一条不匹配，则将集资往下进行判断，直到有任一条语句匹配，则不再继续判断，路由器将决定该数据包允许通过或拒绝通过。

②若最后没有任一条语句匹配，则路由器根据默认处理方式丢弃该数据包。

基于ACL的测试条件，数据包要么被允许，要么被拒绝，如果数据包满足了ACL的permit的测试条件，数据包就可以被路由器继续处理。

如果数据包满足了ACL的deny的测试条件，就简单丢弃该数据包。

一旦数据包被丢弃，某些协议将返回一个数据包到发送端，以表明目的地址是不可到达的。

３，访问控制列表的“入”与“出”1) 对“入”标准访问控制列表处理过程：①当接到一个数据包时，路由器检查数据包的源地址是否与访问控制列表中的条目相符；②如果访问控制列表允许该地址，那么路由器将停止检查访问控制列表，继续处理数据包；③如果访问控制列表拒绝了这个地址，那么，路由器将丢弃该数据包，并且返回一个Internet控制消息协议（ICMP）的管理拒绝消息。

ACL学习总结ACL（访问控制列表）学习总结一、ACL概述：ACL是由permit或deny组成的一系列有序的规则，它告诉路由器端口处决定哪种类型的通信流量被转发或者被阻塞。

所有的ACL的最后一行上都有隐含的deny语句，且他的顺序不可改变。

ACL主要具有包过滤、服务质量（QoS）、按需拨号路由（DDR）、网络地址转换（NAT）、路由过滤等功能。

ACL的基本原理时使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而到达访问控制的目的。

网络中的节点分为资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

由于ACL是使用包过滤技术来实现的，过滤的仅仅是第三层和第四层包头中的部分信息，所以ACL技术不可避免的具有一定的局限性。

二、ACL的基本配置：1、配置ACL需要遵循两个基本原则：（1）最小特权原则：只给受控对象完成任务必须的最小权限；（2）最靠近受控对象原则：所有网络层访问权限控制尽可能距离受控对象最近；根据需要，提供两种基于IP的访问表：标准访问表和扩展访问表。

标准访问表只是根据源IP地址来允许或拒绝流量，而扩展访问表允许基于子协议、源地址、源端端口、目的地址，以及目的端口许可或者拒绝流量，甚至还可以过滤基于时间或者用户身份过滤流量。

2、配置ACL的两个重要参数：（1）ACL的表号和名字：ACL的表号和名字都是用来表示或引用ACL的，名字用字符串标识，表号用数据表示，不同协议、不同种类的ACL，其表号范围不同，一般地，1~99用于标准IP ACL，100~199用于扩展IP ACL。

（2）ACL的通配符：配置ACL的源地址或目的地址时，在允许或拒绝的IP地址后面，有一个参数是wildcard-mask——通配符，通配符用32位二进制数表示，表示形式与IP地址和子网掩码相同，而通配符实际上就是子网掩码的反码（如：IP地址202.112.66.1，其掩码是255.255.255.0，则其通配符就是0.0.0.255）2、配置一个标准IP ACL：在全局模式下：命令格式：access-list access-list-number {permit|deny|source wildcard-mask}例：在三层交换机上进行如下配置：access-list 1 permit host 10.1.6.6 anyaccess-list 1 deny anyint vlan 1ip access-group 1 out其中，access-list用于配置ACL的关键字，后面的1就是ACL的表号；host 10.1.6.6是匹配条件，等同于10.1.6.6 0.0.0.0，any表示匹配所有地址；int vlan 1、ip acces-group 1 out：将access-list 1应用到vlan1接口的out方向；3、配置一个扩展IP ACL：在全局配置模式下：（1）、使用access-list命令：命令格式：access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]例：在三层交换机上进行如下配置：int vlan 1no ip access-group 1 outexitno access-list 1access-list 101 permit tcp host 10.1.6.6 any eq telnetaccess-list 101 deny tcp any any eq telnetint vlan 1ip access-group 101 outint vlan 3ip access-group 101 out其中，no access-list 1是用于取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消（注：在取消或修改一个ACL之前，必须先将它所应用的接口上的应用给no掉，否则会导致严重后果）；tcp host 10.1.6.6 any eq telnet是匹配条件，完整格式为：协议源地址源wildcards[关系][源端口] 目的地址目的wildcards[关系][目的端口]，协议可以是IP、TCP、UDP、EIGRP 等，[]内为可选字段，关系可以是eq（等于）、neq（不等于）、lt（大于）、range（范围）等，端口一般为1-65535.4、配置命名的IP ACL：命名的IP ACL有两个优点：（1）、解决ACL号码不足的问题；（2）可以自由删除ACL中的一条语句，而不必删除整个ACL；5、验证ACL：（1）show running-config：快速显示应用的ACL并且不需要略过过多的输出条目；（2）show ip interface：此命令显示ACL应用的位置；（3）show ip access-lists：该命令具有显示匹配ACL中给定行的数据包数量的能力；三、ACL总结：在把IP ACL应用到网络中时，他的两种分类满足了全部需求。

ccna考试知识点总结本文将总结CCNA考试涉及的知识点，包括网络基础知识、路由和交换技术、网络设备配置与管理等方面。

一、网络基础知识1. OSI七层模型OSI七层模型是一种将网络通信划分为七个不同功能层次的模型，包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。

每一层都有不同的功能和协议，通过这些层次间的协同工作，实现了网络通信的灵活性和可靠性。

2. TCP/IP协议族TCP/IP协议族是以因特网为基础的一组通信协议，包括TCP、IP、UDP、ICMP等多个协议。

这些协议在网络通信中起着非常重要的作用，通过它们可以实现数据的可靠传输、网络地址的分配、网络连接的建立和维护等功能。

3. IP地址与子网划分IP地址是网络设备在互联网中的唯一标识，而子网划分则是将IP地址空间划分为多个子网，以实现网络资源的有效利用和管理。

4. VLANVLAN（Virtual Local Area Network）是一种虚拟局域网技术，可以实现逻辑上的隔离和管理，提高了网络的可扩展性和安全性。

5. DHCPDHCP（Dynamic Host Configuration Protocol）是一种动态主机配置协议，可以为网络设备动态分配IP地址、子网掩码、网关、DNS服务器等网络参数。

6. NATNAT（Network Address Translation）是一种网络地址转换技术，通过将内部私有IP地址映射到外部公网IP地址，实现了内部网络与外部网络的通信。

7. 网络拓扑结构网络拓扑结构是指网络设备之间的连接方式和布局，包括总线型、星型、环型、网状型等多种形式，每种拓扑结构都有其特点和适用场景。

二、路由和交换技术1. 路由协议路由协议是网络设备之间进行路由信息交换和计算的协议，包括静态路由、RIP、OSPF、EIGRP、BGP等多种协议，每种协议都有其特点和适用场景。

2. VLANVLAN是一种局域网的划分技术，能够将一个物理的局域网划分成多个逻辑的局域网，提高了网络的可扩展性和安全性。

访问控制列表建立访问控制列表，可对数据流量进行简单的控制，以及通过这种控制达到一不定程度的安全性，允许或拒绝数据包通过路由器，从而达到对数据包进行过滤的目的。

另外，也可以在VTY线路接口上使用访问控制列表，来保证telnet的连接的安全性。

因为接口的数据流是有进口和出口两个方向的，所以在接口上使用访问控制列表也有进和出两个方向。

进方向的工作流程进入接口的数据包——进方向的访问控制列表——判断是否匹配——不匹配，丢弃，匹配，进入路由表——判断是否有相应的路由条目——无，丢弃，有从相应接口转发出去出口方向的工作流程进入接口数据包——进入路由表，判断是否是相应的路由条目——无，丢弃，有，数据包往相应接口——判断出口是否有访问控制列表——无，数据被转发，有，判断条件是否匹配——不匹配，丢弃，匹配，转发。

比较看，尽可能使用进方向的访问控制列表，但是使用哪个方向的应根据实际情况来定。

类型标准访问控制列表所依据的条件的判断条件是数据包的源IP地址，只能过滤某个网络或主机的数据包，功能有限，但方便使用。

命令格式先在全局模式下创建访问控制列表Router（config）＃access－list access－list－number ｛permit or deny｝soure ｛soure－wildcard｝log注：access－list－number 是访问控制列表号，标准的访问控制列表号为0～99;permit 是语句匹配时允许通过，deny是语句不匹配时，拒绝通过。

soure是源IP地址，soure－wildcard 是通配符，log是可选项，生成有关分组匹配情况的日志消息，发到控制台补：当表示某一特定主机时，soure ｛soure－wildcard｝这项例如：192.168.1.1 0.0.0.255 可表示为host 192.168.1.1创建了访问控制列表后，在接口上应用Router（config－if）＃ip access－group access－list－number ｛in or out｝扩展访问控制列表扩展访问控制列表所依据的判断条件是目标、源ip地址、协议及数据所要访问的端口。

访问控制列表ACL笔记1、访问控制列表应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。

提供网络基访问的基本安全手段，可用于Qos，控制数据流量，控制通信。

ACL工作原理读取第三层及第四层包头中信息，根据预先定义好的规则对包进行过滤。

可以基于源地址、目的地址、目的地址、源地址、协议类型等。

过程匹配第一步Y允许N匹配下一步Y允许目的接口N匹配下一步Y允许N隐含的拒绝拒绝丢弃使用ip access-group将ACL应用到某一个接口上，接口的一个方向上只能应用一个ACL Router(config-if)#ip access-group “access-list-number”{in|out}Per和denyRouter(config)#access-list “access-list-number”{ permit | deny } { test conditions}实例：第一步，创建访问控制列表Router(config)#access-list 1 deny 172.16.4.13 0.0.0.0Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255第二步，应用到接口e0的出方向上Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out通配符any可以代替0.0.0.0 255.255.255.255Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#access-list 1 permit any通配符host可以代替一台主机，host标识检查IP地址的所有位。

2009年6月23日11:05IP访问控制列表标准ACL 1)检查源地址2）不能对协议族作限定扩展ACL 1)检查源和目标地址2）能容许或拒绝特定的协议和应用（端口号）区别列表类型: 1）ACL号: 1-99,1300-1999标准ACL ;100-199,2000-2699扩展ACL2) 命名ACL用描述性的名字或号码标识访问列表的编号指明了使用何种协议的访问列表2.每个端口，每个方向，每个协议只能对应于一条访问列表3.访问列表内容决定了数据控制顺序，具有严格限制条件的语句放在所有语句最上面4.访问列表最后一条是隐含拒绝，所有每个访问控制列表至少有一条permit语句（否则所有流量不通过）5.访问控制列表需要应用在进出接口上，如何过滤流量，取决于怎么应用6.放置访问控制列表1）扩展访问列表应用在靠近源2）标准访问列表应用靠近目标inside:需要翻译成外部地址的网络local:出现于内网global:出现于外网inside local:分配给处于内网的主机的IP地址,地址是全局唯一的,一般分配的是由RFC 1918里定义的私有地址(private IP address)inside global:用来替代inside local的对外的,可用于Internet上的地址,即被翻译后的地址.地址全局唯一,由ISP分配outside local:外网主机相对于内网所用的IP地址.地址可以从RFC 1918中定义的进行分配outside global:分配给外网主机的外部地址simple translation entry: 把一个IP地址映射到另外一个地址上去的翻译方式extended translation entry: 把IP地址和端口(port)的组合翻译成另外一个地址和端口的组合static address translation:静态翻译,把一个local对应到global上去dynamic address translation:动态翻译,local和global池(pool)建立动态对应关系port address translation(PAT):通过使用地址和端口的结合来达到多个local对应一个global的状LAB-1：NAT的基本配置step1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：配置一个静态的(IP对IP)NAT转换R1(config)#ip nat inside source static 192.168.1.2 13.0.0.1inside local inside globle R1#show ip nat translationsPro Inside global Inside local Outside local Outside global--- 13.0.0.1 192.168.1.2 --- ---R1#debug ip natLAB-2：配置动态NATstep1：定义NAT的内口/外口R1(config)#int e0R1(config-if)#ip nat inside //将e0口定义为NAT的内网口R1(config)#int s1R1(config-if)#ip nat outside //将s1口定义为NAT的外网口step2：用ACL定义需要做NAT的用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255step3：配置一个基于公网接口serial 1的NAT端口复用R1(config)#ip nat inside source list 1 interface serial 1 overload 内网用户NAT的出接口端口复用show ip nat trandeb ip natshow ip nat translationsLAB-3:配置一个基于地址池的NATstep0：在网关上为内部用户配置辅助地址R1(config)#inter e0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#ip add 192.168.2.1 255.255.255.0 secondary //配置辅助地址step1：定义内/外口step2：定义用户群R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255step3：从ISP处购买来的公网IP，分别放入为不同子网准备的地址池中R1(config)#ip nat pool POOL_1 13.0.0.8 13.0.0.11 prefix-length 24 地址池的名字起始IP地址结束IP地址R1(config)#ip nat pool POOL_2 13.0.0.12 13.0.0.15 netmask 255.255.255.0step4：为不同的子网，进行基于不同NAT-Pool的转换R1(config)#ip nat inside source list 1 pool POOL_1 overloadR1(config)#ip nat inside source list 2 pool POOL_2 overload测试LAB-4基于端口号的NAT转换PATR1(config)#ip nat inside source static tcp 192.168.1.2 23 13.0.0.1 8000R1(config)#ip nat inside source static tcp 192.168.2.4 23 13.0.0.1 9000PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）Ip nat inside source list 10 int s1/1 overloadIp nat inside source list 10 pool liming overload (端口复用的可以是接口或地址池)NAT排障：1.检查inside 入口方向有没有ACL拒绝数据包通过2.NAT里引用的list添加所有需要转换的网段3.Nat 地址池地址不够PAT: 1个IP只能提供65535个转换项（不是IP,1个Ipdutying 200个左右的转换项）。