Cisco访问控制列表.doc

浅谈Cisco 访问控制列表配置及应用ACL？ 一般是应用在路由器、三层交换机接口或vlan接口 原理： ACL使用包过滤技术检查包头实现过滤。 作用： 可以限制网络流量、提高网络性能； 提供对通信流量的控制手段，提供网络安全访问的基本手段； 可以在路由器端口处决定哪种类型的通信流量被转发或被阻止。 基本分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 1、标准访问控制列表：只检查数据包的源地址。 2、 扩展访问控制列表：对数据包的源地址与目标地址均进行检查。也能检查特定的协议、端口号以及其他参数。 3、基于时间的访问：我们比较常用的名称的访问控制列表，可根据或者vlanID建立访问控制列表灵活，方便查找使用 原理：站和入站。 标准访问列表： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。 标准访问控制列表的格式： 标准访问控制列表是最简单的ACL。 它的具体格式如下：access-list ACL号 permit|deny host ip地址 例如：access-list 10 deny host 这句命令是将所有来自地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 55 通过上面的配置将来自/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是55呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为55的代表他的子网掩码为。 小提示：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 表示的是拒绝这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一： 网络环境介绍： 我们采用如图所示的网络结构。路由器连接了二个网段，分别为/24，/24。在/24网段中有一台服务器提供WWW服务，IP地址为3。 实例1：禁止/24网段中除3这台计算机访问/24的计算机。3可以正常访问/24。 路由器配置命令 access-list 1 permit host 3 设置ACL，容许3的数据包通过。 access-list 1 deny any 设置ACL，阻止其他一切IP地址进行通讯传输。 int e 1 进入E1端口。 ip access-group 1 in 将ACL 1宣告。 经过设置后E1端口就只容许来自3这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 小提示：由于CISCO默认添加了DENY ANY的语句在每个ACL中，所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告，宣告结果和上面最后两句命令效果一样。 标准访问控制列表实例二： 配置任务：禁止3这个计算机对/24网段的访问，而/24中的其他计算机可以正常访问。 路由器配置命令： access-list 1 deny host 3 设置ACL，禁止3的数据包通过 access-list 1 permit any 设置ACL，容许其他地址的计算机进行通讯 int e 1 进入E1端口 ip access-group 1 in 将ACL1宣告，同理可以进入E0端口后使用ip access-group 1 out来完成宣告。 配置完毕后除了3其他IP地址都可以通过路由器正常通讯，传输数据包。 总结：标准ACL占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。 扩展访问控制列表： 上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有