ACL控制列表笔记

ACL控制列表的应用

盐城师范学院物理系卢东祥

正确使用和配置访问列表是一个路由器至关重要的部分，贡献出有效率的和优化你的网络，访问列表给网络管理带来了贯穿网络的巨大交通流动控制，管理人员可以数据包流收集基本统计，和安全政策可以被实现，敏感的设备可以被保护，让未经许可访问不能访问到它。访问列表能使用或者拒绝数据包在路由器之间的移动，许可或者拒绝Telnet（VTY）在路由器之间访问，和建立dial-on demand(DDR), 有意义交通，触发拨号到一个远程位置。access-list

访问列表是十分重要条件列表，它控制访问。强大的工具控制访问在网段之间，它过滤不需要的数据包和实现安全政策，随着访问列表，网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策，IP 和IPX Access-lists 工件得非常类拟，他都比较过滤的数据包，分类,一旦Access-lists建立起来，他们可以应用到内范围和外范围网络交通在任何接口，应用Access-lists将致使路由器去分析每一的穿过接口的数据包在指定方向和行为根据。

下面是一些当Access-lists开始比较数据包的遵循的重要的规则,它总是按顺序比较Access-lists的每一条线看，从线1，线2，线3.它比较Access-lists的线直到匹配为止，，一旦数据包匹配Access-lists，它会遵循，并且比较不再发生暗示的拒绝将在Access-lists的底部。它的意思是如果一个数据包不有匹配任何Access-lists的线，它将被丢弃,每一个规则都有某些强大的含义当Access-lists过滤IP和IX数据包的时候。

有两类Access-lists类型使用IP和IPX：

standard Access-lists: 只过滤网络来源IP地址，基本上许可或者拒绝全部的协议，IPX standards可以过滤来源和目标IPX地址

extended access list：它检查来源和目标IP地址，网络层报头的协议段，和传输层报头端口编号，IPX extended Access List 使用来源和目标IPX地址，网络层报头的协议段，和传输层报头socket 编号

一旦你建立了一个Access-lists，你应用它到一个inbound or outbound list 接口

inbound Access-lists: 数据包路由到outbound接口之前，先通过Access-lists处理。outbound Access-lists:数据包路由到outbound接口然后处理它通过Access-lists。

仍有一些Access-lists方针当建立和实现Access-lists在一个路由器时我们应该遵循，

你可以只分配一个Access-lists到一个接口，一个协议，或者一个方向，这个意思是你只能有一个inbound Access-lists和一个ountbound Access-lists在一个接口

组织你Access-lists以便更多的明确的测试在Access-lists的顶端，

在任何时候一个新的Lists加到Access-lists将被放在list的底部

你不能移动Access-lists里面的line，如果你想移动它你将移动全部的list, 最好在编辑它之前拷贝Access-lists到一个正文编辑。它只例外情况当使用名字Access-lists。

除非你在到达Access-lists的结束之前获得许可，所有的数据包将会丢弃，否则你只有关闭接口了。建立一个Access-lists和应用它他到一个接口，任何Access-lists 到接口的将无法应用如果没有一个Access-lists呈递。Access-lists是设计应用到过滤通过路由器交通，所以他们只会过滤到路由器的数据包而不会过滤来自路由器的数据包。把IP standard Access-lists 尽量放在接近目标的地方把IP extended Access-lists尽量放在接近来源的地方

standard IP access-lists

这使用来源IP地址，你使用Access-lists编号1-99建立一个standard IP Access-lists

Router(config)# access-list 10 deny ..........

现在有三个选择可供使用，你可以使用任何命令去许可或者拒绝任何主机或者网络，

你可以使用一个IP地址去指定或者匹配一个明确的网络或者IP主机，

你可以使用host命令去只指定一个明确的的主机

Router(config)# access-list 10 deny host 202.202.202.111

Router(config)# access-list 10 deny 202.202.202.111也可以

Router(config)# access-list 10 deny any 也可以用下面的

Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255

不过也有另一个方法来指定一个主机，你可以使用通配符，去指定一个网络或者一个子网，你没有选择但可以使用通配符在Access-lists

Wildcards

它是Access-lists指定使用一个主机，网络，或者一部分网络，你需要了解block sizes。block sizes是使用来指定一个地址范围，下面显示某些不同的block sizes可供使用。

64 32 16 8 4

当你需要指定一个地址范围时，你选择最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主机，你需要32，

202.202.8.0 到202.202.15.0

15-8=7

7最接近8

所以是202.202.202.8.0

所以是0.0.7.255 从0-7就是8的原因

standard IP Access List example

router(config)#access-list 10 deny 172.16.40.0 0.0.0.255

router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255

访问列表设完，下面是应用到接口

router(config)#int e0

router(config-if)# ip access-group 10 out

以上结果是所有从ethernet 0的接，来自172.16.40.0的数据将被停止

extended ip Access List

在标准IP访问列表里，注意到你该如果阻止全部来自某处的子网, 如果你想他们只能获得访问几个服务器该如何做呢？在标准的访问列表里，你不能允许用户只用网络的一部份，不过扩展IP访问列表可能解决这个问题，它允许你选择你的IP来源和目标地址，还有可以选择端口号码。

router(config)#access-list 110 deny ?

tcp ...........

ip ..................

在这里你要选择访问列表类型，这是非常重要的，你一定要明白如果你想使用应用程序过滤，你必须选择一个允许你通IOS模式的网络协议项目，实例1，如果你要过滤telnet或者ftp，你必须选择TCP，如果你选择IP，你将不能离开网络层，这样你就不能允许任何更高层的过滤。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp

这样你就防止所有的数据包通过FTP经过23端口到172.16.30.2

但这样其实你会拒绝所有的通信，因为访问列表里找不到的将全部被拒绝，所以你要router(config)#access-list 110 permit ip any any