Cisco访问控制列表

思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。

分享给⼤家供⼤家参考，具体如下：⼀、ACL概述ACL (Access Control List,访问控制列表）是⼀系列运⽤到路由器接⼝的指令列表。

这些指令告诉路由器接收哪些数据包、拒绝哪些数据包，接收或者拒绝根据⼀定的规则进⾏，如源地址、⽬标地址、端⼝号等。

ACL使得⽤户能够管理数据流，检测特定的数据包。

路由器将根据ACL中指定的条件，对经过路由器端⼝的数据包进⾏检査。

ACL可以基于所有的Routed Protocols (被路由协议，如IP、IPX等）对经过路由器的数据包进⾏过滤。

ACL在路由器的端⼝过滤数据流，决定是否转发或者阻⽌数据包。

ACL应该根据路由器的端⼝所允许的每个协议来制定，如果需要控制流经某个端⼝的所有数据流，就需要为该端⼝允许的每⼀个协议分别创建ACL。

例如，如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流，那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。

针对IP协议，在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊（inbound)端⼝的数据流，另⼀个⽤于过滤流出（outboimd)端⼝的数据流。

顺序执⾏：—个ACL列表中可以包含多个ACL指令，ACL指令的放置顺序很重要。

当路由器在决定是否转发或者阻⽌数据包的时候，Cisco的IOS软件，按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。

当检测到某个指令条件满⾜的时候，就执⾏该指令规定的动作，并且不会再检测后⾯的指令条件。

ACL作⽤： * 限制⽹络流量，提⾼⽹络性能。

* 提供数据流控制。

* 为⽹络访问提供基本的安全层。

⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数，只针对源地址进⾏过滤。

2. 扩展ACL: access-list-number编号100~199之间的整数，可以同时使⽤源地址和⽬标地址作为过滤条件，还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。

Cisco路由器配置ACL详解之基于时间的访问控制列表
基于时间的访问控制列表：
上⾯我们介绍了标准ACL与扩展ACL，实际上我们数量掌握了这两种访问控制列表就可以应付⼤部分过滤⽹络数据包的要求了。

不过实际⼯作中总会有⼈提出这样或那样的苛刻要求，这时我们还需要掌握⼀些关于ACL的⾼级技巧。

基于时间的访问控制列表就属于⾼级技巧之⼀。

⼀、基于时间的访问控制列表⽤途：
可能公司会遇到这样的情况，要求上班时间不能上QQ，下班可以上或者平时不能访问某⽹站只有到了周末可以。

对于这种情况仅仅通过发布通知规定是不能彻底杜绝员⼯⾮法使⽤的问题的，这时基于时间的访问控制列表应运⽽⽣。

⼆、基于时间的访问控制列表的格式：
基于时间的访问控制列表由两部分组成，第⼀部分是定义时间段，第⼆部分是⽤扩展访问控制列表定义规则。

这⾥我们主要讲解下定义时间段，具体格式如下：
time-range时间段名称
absolute start [⼩时：分钟] [⽇⽉年] [end] [⼩时：分钟] [⽇⽉年]
例如：time-range softer
absolute start 0:00 1 may 2005 end 12:00 1 june 2005
意思是定义了⼀个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5⽉1⽇零点,结束时间为2005年6⽉1⽇中午12点。

我们通过这个时间段和扩展ACL的规则结合就可以指定出针对⾃⼰公司时间段开放的基于时间的访问控制列表了。

当然我们也可以定义⼯作⽇和周末，具体要使⽤periodic命令。

我们将在下⾯的配置实例中为⼤家详细介绍。

cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数据包时应用的话他一定是个门外汉。

如果仅仅为了交换数据包我们使用普通的HUB就能胜任，如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。

实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。

今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。

什么是ACL访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

访问控制列表及动态访问控制列表杨振启（曲阜师范大学日照校区网络中心山东日照 276825）摘要：本文主要介绍访问控制列表及动态访问控制列表的概念、工作原理、及具体应用，并分析了它们的优缺点。

关键词：路由器控制列表动态访问控制列表一访问控制列表1、概述：路由器是网络互联的主要设备，也是网络的前沿关口，如果路由器自身的安全都没有保障，那么整个网络便没有安全可言，因此，在网络管理上必须对路由器进行合理规划、配置，采取必要的安全保护措施，通常可以利用路由器访问控制列表功能，实现对网络的安全保护。

访问表（Access List）是一个有序的语句集。

它是基于将规则与报文进行匹配，用来允许或拒绝报文流的排序表。

用来允许或拒绝报文的标准是基于报文自身包含的信息，通常这些信息只限于第三层和第四层报文头中的包含的信息。

当报文到达路由器的接口时，路由器对报文进行检查，如果报文匹配，则执行该语句中的动作；如果报文不匹配，则检查访问表中的下一个语句，直到最后一条结束时仍没有匹配语句，则报文按缺省规则被拒绝。

整个过程如图1所示：图 12、举例：我们用一个例子具体说明访问控制列表的应用。

某单位用C类地址200.200.200.0/24 构造局域网，网络拓扑见图2。

整个网络采用TCP/IP协议。

用Cisco2621路由器经电信2M线线路与Internet互连，电信提供地址段100.100.100.0/28用于路由。

局域网中IP地址为200.200.200.11、219.218.28.12、219.218.28.13的服务器对内、对外提供Web，Ftp，E-mail服务，现对Cisco2621的广域网接口S0/0施行访问控制以保证局域网安全，路由器参考配置文件如下：interface FastEthernet0/0ip address 200.200.200.1 255.255.255.0duplex autospeed auto!interface Serial0/0ip address 100.100.100.1 255.255.255.240ip access-group 100 inclockrate 64000!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!interface Serial0/1no ip addressshutdown!ip classlessip route 0.0.0.0 0.0.0.0 100.100.100.2no ip http server!access-list 100 permit tcp any gt 1023 host 200.200.200.11 eq www （允许用户访问WEB服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq smtp （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.12 eq pop3 （允许用户访问EMAIL 服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp （允许用户访问FTP服务器）access-list 100 permit tcp any gt 1023 host 200.200.200.13 eq ftp-data （允许用户访问FTP服务器）access-list 100 permit tcp any 219.218.28.0 0.0.0.255 established （允许外部响应数据包返回）access-list 100 deny tcp any any eq telnet （禁止外部TELNET内网）access-list 100 deny icmp any any echo （禁止外部PING内网）access-list 100 deny icmp any any traceroute （禁止外部TRACEROUTE内网）access-list 100 deny ip 10.0.0.0 0.0.0.255 any （禁止非法地址访问内网）access-list 100 deny ip 172.16.0.0 0.15.255.255 any （禁止非法地址访问内网）access-list 100 deny ip 192.168.0.0 0.0.255.255 any （禁止非法地址访问内网）!voice-port 1/0/0!voice-port 1/0/1!voice-port 1/1/0!voice-port 1/1/1!dial-peer cor custom!!!!line con 0exec-timeout 0transport input noneline aux 0line vty 0 4!no scheduler allocateend图2二动态访问控制列表1、概述：局域网仅供内部使用时，如果没有与外部Internet相连的接口，这自然是非常安全的，但在特殊情况（如人员出差在外）希望访问内部网络资源时，便会非常困难。

交换机配置IP访问控制列表Cisco6509Console> (enable) set ip permit enableIP permit list enabled.Console> (enable) set ip permit 172.16.0.0 255.255.0.0 telnet172.16.0.0 with mask 255.255.0.0 added to telnet permit list.Console> (enable) set ip permit 172.20.52.32 255.255.255.224 snmp172.20.52.32 with mask 255.255.255.224 added to snmp permit list.Console> (enable) set ip permit 172.20.52.3 all172.20.52.3 added to IP permit list.Console> (enable) show ip permitTelnet permit list feature enabled.Snmp permit list feature enabled.Permit List Mask Access Type---------------- ---------------- -------------172.16.0.0 255.255.0.0 telnet172.20.52.3 snmp telnet172.20.52.32 255.255.255.224 snmpDenied IP Address Last Accessed Time Type Telnet Count SNMP Count----------------- ------------------ ------ ------------ ----------172.100.101.104 01/20/97,07:45:20 SNMP 14 1430172.187.206.222 01/21/97,14:23:05 Telnet 7 236Console> (enable)Console> (enable) set ip permit disable allConsole> (enable) clear ip permit 172.100.101.102172.100.101.102 cleared from IP permit list.Console> (enable) clear ip permit 172.160.161.0 255.255.192.0 snmp172.160.128.0 with mask 255.255.192.0 cleared from snmp permit list. Console> (enable) clear ip permit 172.100.101.102 telnet172.100.101.102 cleared from telnet permit list.Console> (enable) clear ip permit allIP permit list cleared.Console> (enable)思科C3550交换机配置作为DHCP服务器工程实例作DHCP服务器，因为当时在配置3550作为DHCP中继代理时顺便测试了一把将3550配置为DHCP服务器并获通过，因此这里将配置过程写出来，供大家参考。

访问控制列表ACLACL简介ACL（Access Control List）是一个常用的用于流量匹配的工具，ACL通过对数据包中的源IP、目标IP、协议、源端口、目标端口这5元素进行匹配，然后对匹配的数据执行相应的策略（转发、丢弃、NAT 转换、限速）1.对访问网络的流量进行过滤，实现网络的安全访问；2. 网络地址转换(NAT)；3. QOS服务质量；4. 策略路由。

策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理),其他不允许访问财务。

一、标准ACL:匹配条件较少，只能通过源IP地址和时间段进行流量匹配，在一些需要进行简单匹配的环境中使用。

R(config)# access-list 编号策略源地址编号：标准ACL范围1--- 99策略：permit允许 | deny 拒绝源地址：要严格检查的地址（ IP+通配符掩码）通配符掩码--- 是用来限定特定的地址范围（反掩码）用0 表示严格匹配用1 表示不检查例：主机 172.16.1.1 通配符掩码 0.0.0.0 32位都要检查主网 172.16.0.0/16 通配符掩码0.0.255.255 检查16位子网 172.16.1.0/24 通配符掩码0.0.0.255 24位要检查任意的 0.0.0.0 通配符掩码255.255.255.255不检查主机 ---- host 172.16.1.1 任意 ---- any练习：192.168.1.64/28子网掩码：255.255.255.240子网号： 192.168.1.64/28 (剩余4个主机位，网络号是16的倍数)广播地址： 192.168.1.79 (下一个网络号-1)通配符掩码 0.0.0.15 (比较前28位)通配符掩码 = 255.255.255.255 - 子网掩码也称为反掩码将ACL与接口关联：R(config-if)#ip access-group 编号 {in|out}{in|out} 表明在哪个方向上的数据进行控制策略：要求1.1和1.2可以访问财务部(1.1和1.2 是销售部经理)，其他不允许访问财务部。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

思科路由器--基于时间的访问列表控制我们知道，CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。

随着网络的发展和用户要求的变化，从IOS12.0开始，CISCO路由器新增加了一种基于时间的访问列表。

通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，当然也可以二者结合起来，控制对网络数据包的转发。

一、使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。

它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

并且，对于编号访问表和名称访问表都适用。

二、使用规则用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或多个per iodic命令来具体定义时间范围。

IOS命令格式为：我们分别来介绍下每个命令和参数的详细情况time-range ：用来定义时间范围的命令time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用absolute：该命令用来指定绝对时间范围。

它后面紧跟这start和end两个关键字。

在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。

可以看到，他们两个可以都省略。

如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。

怎么样，看明白了吗？上面讲的就是命令和基本参数为了便于理解，我们看两个例子。

1、如果要表示每天的早8点到晚8点就可以用这样的语句：absolute start 8:00 end 20:002、再如，我们要使一个访问列表从2000年12月1日早5点开始起作用，直到2000年12月31日晚24点停止作用，语句如下：absolute start 5:00 1 December 2000 end 24:00 31 December 2000这样一来，我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去删除那个访问列表了。

网络工程师:详解cisco访问控制列表ACL一：访问控制列表概述·访问控制列表（ACL）是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

·工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。

根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

·实际应用：阻止某个网段访问服务器。

阻止A网段访问B网段，但B网段可以访问A网段。

禁止某些端口进入网络，可达到安全性。

二：标准ACL·标准访问控制列表只检查被路由器路由的数据包的源地址。

若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。

如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

用1----99之间数字作为表号一般用于局域网，所以把标准ACL应用在离目的地址最近的地方。

·标准ACL的配置：router（config）#access-list 表号 deny(禁止) 网段/IP地址反掩码********禁止某各网段或某个IProuter（config）#access-list 表号 permit（允许） any注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

router（config）#interface 接口 ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）router（config-if）#ip access-group 表号 out/in ***** 设置在此接口下为OUT或为IN其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0router(config)#access-list 10 deny host 192.168.0.1router(config)#access-list 10 deny 0.0.0.0 255.255.255.255router(config)#access-list 10 deny anyrouter#show access-lists ******查看访问控制列表。

cisco路由器相关的配置命令的用法和解释—访问控制列表(access-list)对于许多网管员来说，配置路由器的访问控制列表是一件经常性的工作，可以说，路由器的访问控制列表是网络安全保障的第一道关卡。

访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。

这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。

这些策略可以描述安全功能，并且反映流量的优先级别。

例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。

这些情形，以及其他的一些功能都可以通过访问表来达到目的。

访问列表的种类划分目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。

基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。

表1列出了路由器所支持的不同访问表的号码范围。

由于篇幅所限，本文只对标准访问列表和扩展访问列表进行讨论。

标准IP访问表标准IP访问表的基本格式为：access-list [listnumber][permit|deny][host/any][sourceaddress][wildcard-mask][log] 下面对标准IP访问表基本格式中的各项参数进行解释：1.list number---表号范围标准IP访问表的表号标识是从1到99。

2.permit/deny----允许或拒绝关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。

permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。

3.source address----源地址对于标准的IP访问表，源地址是主机或一组主机的点分十进制表示，如:198.78.46.8。

思科访问控制列表实验案例1. 配置路由器到网络各点可通网络如图，动态路由已设好，IP地址分配如下：RouterA f0/0: 10.65.1.2RouterA f0/1: 10.66.1.2RouterA s0/1: 10.68.1.2RouterC s0/0: 10.68.1.1RouterC s0/1: 10.78.1.2RouterB s0/0: 10.78.1.1RouterB s0/1: 10.69.1.2RouterB f0/0: 10.70.1.2SWA:10.65.1.8 gateway:10.65.1.2PCA:10.65.1.1 gateway:10.65.1.2PCB:10.66.1.1 gateway:10.66.1.2PCC:10.69.1.1 gateway:10.69.1.2PCD:10.70.1.1 gateway:10.70.1.2PCE:10.65.1.3 gateway:10.65.1.2PCF:10.65.2.1 gateway:10.65.1.22. 基本的访问控制列表：先从PCA ping PCD:[root@PCA @root]#ping 10.70.1.1 (通)在ROC的s0/0写一个输入的访问控制列表：RouterC(config)#access-lilt 1 permit 10.65.1.1 0.0.0.0RouterC(config)#access-list 1 deny anyRouterC(config)#int s0/0RouterC(config-if)#ip access-group 1 inRouterC(config-if)#endRouterC#sh access-list 1[root@PCA @root]#ping 10.70.1.1 (通)[root@PCE @root]#ping 10.70.1.1 (不通)[root@PCE @root]#ping 10.66.1.1 (通)[root@PCB @root]#ping 10.70.1.1 (不通)[root@PCD @root]#ping 10.66.1.1 (通)第一个ping，PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的，所以通。

time-range：用来定义时间范围;time-range-name：时间范围名称，用来标识时间范围，以便在后面的访问列表中引用;absolute：该命令用来指定绝对时间范围。

它后面紧跟start和end两个关键字。

在两个关键字后面的时间要以24小时制和“hh: mm（小时：分钟）”表示，日期要按照“日/月/年”形式表示。

这两个关键字也可以都省略。

如果省略start及其后面的时间，表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止;若省略end及其后面的时间，表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用(当然如把访问列表删除了的话就不会起作用了）。

为了便于理解，下面看两个例子。

如果要表示每天早8点到晚6点开始起作用，可以用这样的语句：absolute start 8∶00 end 18∶00再如，我们要使一个访问列表从2003年1月1日早8点开始起作用，直到2003年1月10日晚23点停止作用，命令如下：absolute start 8∶00 1 January 2003 end 23∶00 10 January 2003这样我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去删除那个访问列表了。

接下来，介绍一下periodic命令及其参数。

一个时间范围只能有一个absolute语句，但是可以有几个periodic语句。

periodic：主要以星期为参数来定义时间范围。

它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合，也可以是daily（每天）、weekday（周一到周五）或者weekend（周末）。

我们还是来看几个具体的例子。

比如表示每周一到周五的早9点到晚10点半，命令如下：periodic weekday 9∶00 to 22∶30每周一早7点到周二的晚8点可以这样表示：periodic Monday to Tuesday 20∶00在把时间范围定义清楚后，我们来看看如何在实际情况下应用这种基于时间的访问列表。