标准访问控制列表

标准IP访问控制列表的配置及应用一、拓扑结构图；二、访问控制列表的概念；1．访问控制列表(Access Control List，ACL)是应用在路由器（或三层交换机）端口上的控制列表。

ACL可以允许（permit）或拒绝（deny）进入或离开路由器的数据包（分组），通过设置可以允许或拒绝网络用户使用路由器的某些端口，对网络系统起到安全保护作用。

访问控制列表（ACL）实际上是一系列允许和拒绝匹配准则的集合。

2．IP访问控制列表可以分为两大类：标准IP访问控制列表，只对数据包的源IP地址进行检查。

其列表号为1~99或者1300~1999。

扩展IP访问控制列表，对数据包的源和目标IP地址、源和目标端口号等进行检查，可以允许或拒绝部分协议。

其列表号为100~199或2000~2699。

3．访问控制列表对每个数据包都以自上向下的顺序进行匹配。

如果数据包满足第一个匹配条件，那么路由器就按照该条语句所规定的动作决定是拒绝还是允许；如果数据包不满足第一个匹配条件，则继续检测列表的下一条语句，以此类推。

数据包在访问控制列表中一旦出现了匹配，那么相应的操作就会被执行，并且对此数据包的检测到此为止。

后面的语句不可能推翻前面的语句，因此访问控制列表的过滤规则的放置顺序是很讲究的，不同的放置顺序会带来不同的效果。

三、技术原理；假设某公司的经理部，销售部和财务部分别属于不同的网段，出于安全考虑，公司要求经理部的网络可以访问财务部，而销售部无法访问财务部的网络，其他网络之间都可以实现互访。

访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中，即为距离被保护网络最接近的路由器上。

配置标准IP访问控制列表：1.定义标准IP访问控制列表；Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。

访问控制列表AccessList路由器使用访问控制列表（ACL）来识别数据流，然后对其进行过滤、加密、分类或转换，以更好地管理和控制网络的功能。

标准访问列表：编号1-99或1300-1999，只检查分组的源地址，允许或禁止整个协议簇的分组通过。

扩展访问列表：编号100-199或2000-2699，检查分组的源地址、目标地址、协议、端口号和其他参数。

重点：1、入站访问列表的效率比出站访问列表高；2、路由器按顺序自上而下地处理访问列表中的语句；3、将具体条件放在一般性条件前，将常发生的条件放在不常发生的条件前；4、访问列表的最后有一条隐式的deny语句（access-list 1 deny any），分组将被禁止通过；5、新添的语句总被放在访问列表末尾，隐式的前面；6、使用编号访问列表时不能有选择性的删除其中一条语句，但使用名称访问列表可以（IOS11.2以上）；7、在每个接口的每个方向上针对每种协议的访问列表只能有一个，同一个接口上可以有多个访问列表，但必须是针对不同协议的。

等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务，其余主机可以：rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数，y为奇数时允许，其他拒绝：rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表：rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议（Routing Information Protocol）是一种距离矢量路由选择协议，使用跳数作为度量值来选择路径，最大跳数15跳，最多6条路径间负载均衡。

ip标准访问控制列表的规则序号范围IP标准访问控制列表（StandardAccessControlList，简称SACL）是一种按照特定格式编制的访问控制规则，可以实施不同程度的访问控制方案。

SACL的核心在于按照规则序号进行序列化编码，从而将访问控制规则的设置一步步的添加、修改、删除进行有序的操作。

规则序号是访问控制规则的主要分类标准。

IP标准访问控制列表规则序号范围是0-99，每条规则最多可以有99条。

每条规则序号代表一个确切的意义，每条规则序号的设置及其排列顺序决定了访问控制规则的最终形成，是进行访问控制的核心依据。

在IP标准访问控制列表规则数量上，SACL一般可以设置接近100条规则，但是有时候当用户尝试设置规则超过99条时，系统会出现错误。

这是因为SACL规则序号范围是0-99，用户最多只能设置99条规则，而超过99条则会超出序号范围，导致系统报错。

IP标准访问控制列表规则序号设置范围一定要严格遵守，以避免不必要的错误发生，特别是当用户尝试设置规则超过99条时，要特别注意不要超出序号范围，以免出现意料之外的系统错误。

同时，用户在设置SACL时，应当特别注意规则序号的顺序，以免出现访问控制规则实现时规则未正确生效的情况。

SACL的规则及其序号设置是路由网络中最重要的一项功能，它控制了数据包的流向，能够有效的实施网络的安全管理，有效的提升网络的安全性。

因此，设置SACL时，一定要严格按照规则序号范围，其范围为0-99，每条规则最多可以设置99条，使用者一定要注意规则序号的设置顺序，以免出现访问控制规则未正确生效等情况。

同时，当用户尝试设置规则超过99条时，一定要注意不要超出序号范围，以免出现意料之外的系统错误。

第2章访问控制列表（一）➢TCP和UDP协议TCP/IP协议族的传输层协议主要有两个：TCP（Transmission ，传输控制协议）和UDP（User Datagram Protocol，用户数据抱协议）。

➢TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。

TCP提供全双工服务，即数据可在同一时间双向传输，每一个TCP都有发送缓存和接受缓存，用来临时存储数据。

1.TCP报文段TCP将若干个字节构成一个分组，叫做报文段（Segment）。

TCP报文段封装在IP数据段中。

首部长度为20-60字节，以下是各个字段的含义：➢源端口：它是16位字段，为发送方进程对应的端口号➢目标端口号：它是16位字段，对应的是接收端的进程，接收端收到数据段后，根据这个端口号来确定把数据送给哪个应用程序的进程。

➢序号：当TCP从进程接收数据字节时，就把它们存储在发送缓存中，并对每一个字节进行编号。

编号的特点如下所述：◆编号不一定从0开始，一般会产尘一个随机数作为第1个字节的编号，称为初始序号（ISN），范围是0~232-1。

◆TCP每一个方向的编号是互相独立的。

◆当字节都被编上号后，TCP就给每一个报文段指派一个序号，序号就是该报文段中第1个字节的编号。

当数据到达目的地后，接收端会按照这个序号把数据重新排列，保证数据的正确性。

➢确认号：确认号是对发送端的确认信息，用它来告诉发送端这个序号之前的数据段都已经收到，比如确认号是X，就是表示前X-1个数据段都已经收到。

➢首部长度：用它可以确定首部数据结构的字节长度。

一般情况下TCP首部是20字节，但首部长度最大可以扩展为60字节。

➢保留：这部分保留位作为今后扩展功能用，现在还没有使用到。

➢控制位：这六位有很重要的作用，TCP的连接、传输和断开都是受六个控制为的指挥。

各位含义如下：◆URG：紧急指针有效位。

（指定一个包快速传送（重要数据优先传送））◆ACK：只有当ACK=1时，确认序列号字段才有效。

ACL访问控制1. 什么是访问控制列表指根据事先设定好的一系列的规则，对进出路由器或者三层交换机的数据包进行检测，实现对网络的访问控制管理、流量管理等。

访问控制列表的种类2. 目前主要有三种访问控制列表（ACL）：标准ACL扩展ACL命名ACL主要动作为允许（Permit）和拒绝（deny）。

主要应用方法：入栈（In）和出栈（Out）应用。

2.1 标准ACL标准访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。

编号范围是从1到99。

Route(config)#access-list 1 deny 192.168.1.0 0.0.0.2552.2 扩展ACL扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

编号范围是从100到199。

Route(config)#access-list 101 deny 192.168.1.0 0.0.0.255 202.114.254.0 0.0.0.2552.3 命名的访问控制列表所谓命名的访问控制列表是以列表名代替列表编号来定义IP访问控制列表。

(1). 标准的命名访问控制列表Route(config)#ip access-list standard list-nameRoute(config-std-nacl)#(2). 扩展的命名访问控制列表route(config)ip access-list extended list-nameroute(config-ext-nacl)#2.4 基于时间的访问控制列表基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。

这里我们主要讲解下定义时间段，具体格式如下：time-range 时间段名称absolute start [小时：分钟] [日月年] [end] [小时：分钟] [日月年] 例如：time-range softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005 意思是定义了一个时间段，名称为softer，并且设置了这个时间段的起始时间为2005年5月1日零点,结束时间为2005年6月1日中午12点。

ACL1.访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝。

（标号1—99）扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志（100-199）命名访问控制列表：允许在标准和扩展访问控制列表中使用命名来代替标号定时访问控制列表：提供基于时间的附加访问控制。

2.标准的ACL配置语法：Router（config）#access-list （1—99） {permit|deny} 源ip的网段反掩码1.允许192.168.1.0/24和192.168.1.2 的流量通过Router（config）#access-list 1 permit 192.168.1.0 0.0.0.255Router（config）#access-list 1 permit 192.168.1.2 0.0.0.0.0或Router（config）#access-list 1 host 192.168.1.12.拒绝访问任何网段 Router（config）#access-list 2 deny any3.删除以建立的ACL Router（config）# no access-list 14.将ACl应用到端口 Router（config-if）#ip access-group （1——99）{in | out }3.扩展访问ACL 配置Router（config）#access-list （100-199）{permit | deny} protocol {原地址反掩码目标地址反掩码} [operator operan ]Operator:lt-小于；gt—大于；eq—等于；neq-不等于Protocol：TCP;UDP;IP;ICMP1.允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。

而拒绝其他的任何流量Router（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router（config）#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。

标准访问控制列表实验访问控制列表有两种：一种是标准的访问控制列表，另一种是扩展的访问控制列表。

访问控制列表(ACL)是应用在路由器接口的指令列表。

这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。

至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表的应用：1、允许、拒绝数据包通过路由器2、允许、拒绝Telnet会话的建立3、没有设置访问列表时，所有的数据包都会在网络上传输4、基于数据包检测的特殊数据通讯应用标准访问控制列表应注意以下几点：1、检查源地址2、通常允许、拒绝的是完整的协议标准访问列表和扩展访问列表相比，标准的比扩展的简单。

下面我们来做一个关于标准访问控制列表的实验。

经过在路由上配置访问控制命令后，阻止R3 ping R2和R1，但是R3能ping通R4的端口s1/1和s1/2.实验的拓扑连接图如下：Router1 s1/2 <----> ip 192.168.1.2Router2 s1/2 <----> ip 192.168.2.2Router3 s1/2 <----> ip 192.168.3.2Router4 s1/1 <----> ip 192.168.1.1Router4 s1/2 <----> ip 192.168.2.1Router4 s1/3 <----> ip 192.168.3.1用到的模拟器版本为标准路由模拟器标准访问控制列表配置时候很简单，要用的设备也很简单，四台路由器，下面我们开始来做实验，第一步基本配置首先这是在路由器R4中的配置Route>enRoute#conf tRoute(config)#host R4R4(config)#int s1/1R4(config-if)#ip addr 192.168.1.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip addr 192.168.2.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/3R4(config-if)#ip addr 192.168.3.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#router ripR4(config)#network 192.168.1.0R4(config)#network 192.168.2.0R4(config)#network 192.168.3.0R4(config)#exitR4#show ip route接下来配置R1,R2,R3，配置ip和启动RIP路由,配置如下：R1的IP是192.168.1.2R1(config)#router ripR1(config)#network 192.168.1.0R2的IP是192.168.2.2R2(config)#router ripR2(config)#network 192.168.2.0R3的IP是192.168.3.2R3(config)#router ripR3(config)#network 192.168.3.0Ok配置完成后我们测试一下，最后结果是R3 ping通R1和R2，第二步配置标准访问控制列表R4(config)#access-list 1 deny 192.168.3.0 0.0.0.255----------访问控制列表号+许可的IP网段+反掩码R4(config)#access-list 1 permit anyR4(config)#int s1/1R4(config-if)#ip access-group 1 out------------在接口上应用配置R4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip access-group 1 outR4(config-if)#exitOk配置完成后我们测试一下，最后结果是R3 ping不通R1和R2，但是能R4的端口s1/1,s1/2标准访问控制列表的配置就这样的完成了…..。

标准访问控制列表1 实验目标✓在路由器上配置标准访问控制列表✓保护路由的Telnet安全2 试验要求✓定义访问控制列表20✓将访问控制列表绑定到VTY端口2.1试验拓扑3 实验过程：3.1在Router0上定义标准访问控制列表Router>Router>enRouter#confi tRouter(config)#line vty 0 4Router(config-line)#password aaa 配置Telnet密码Router(config-line)#exitRouter(config)#access-list 20 permit 192.168.1.3 0.0.0.0 定义访问控制Router(config)#line vty 0 4Router(config-line)#access-class 20 in将访问控制列表绑定VTY端口Router(config-line)#注意：在接口配置绑定访问控制列表，Router(config-if)#ip access-group 10 out 3.2查看访问控制列表Router#show access-listsStandard IP access list 20permit host 192.168.1.2Router#4 验证4.1在PC3上测试到Router0的telnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...User Access VerificationPassword: Telnet成功Router>Router>4.2在PC2上测试到Router0的TelnetPacket Tracer PC Command Line 1.0PC>telnet 192.168.1.1Trying 192.168.1.1 ...% Connection refused by remote host 拒绝PC>。