访问控制列表
  建立访问控制列表,可对数据流量进行简单的控制,以及通过这种控制达到一不定程度的 安全 性,允许或拒绝数据包通过 路由 器,从而达到对数据包进行过滤的目的。(其实 acl 还可以用于 route-map distribute-list 等高级一点的控制类表中)
  另外,也可以在 VTY 线路接口 上使用访问控制列表,来保证 telnet 的连接的 安全 性。
  因为接口的数据流是有进口和出口两个方向的,所以在接口上使用访问控制列表也有进和出两个方向。
  进方向的工作流程
  进入接口的数据包 —— 进方向的访问控制列表 —— 判断。
  是否匹配 —— 不匹配,丢弃,匹配,查看是否有相应的 pbr ,再进入路由表 —— 判断是否有相应的路由条目 —— 无,丢弃,有从相应接口转发出去。
  出口方向的工作流程
  进入接口数据包 —— 进入路由表,判断是否是相应的路由条目 —— 无,丢弃,有,数据包往相应接口 —— 判断出口是否有访问控制列表 —— 无,数据被转发,有,判断条件是否匹配 —— 不匹配,丢弃,匹配,转发。
  比较看,尽可能使用进方向的访问控制列表,但是使用哪个方向的应根据实际情况来定。
  类型
  标准访问控制列表
  所依据的条件的判断条件是数据包的源 IP 地址 ,只能过滤某个网络或主机的数据包,功能有限,但方便使用。
  命令格式
  先在全局模式下创建访问控制列表:
   Router config )# access list  access list number  permit or deny soure soure wildcard log
  注: access list number 是访问控制列表号,标准的访问控制列表号为 0 99;permit 是语句匹配时允许通过, deny 是语句不匹配时,拒绝通过。 soure 是源 IP 址, soure wildcard 是通配符, log 是可选项,生成有关分组匹配情况的日志消息,发到控制台
  补:当表示某一特定主机时, soure soure wildcard }这项例如: 192.168.1.1 0.0.0.255 可表示为 host 192.168.1.1
  创建了访问控制列表后,在接口上应用
   Router config if )# ip access group access list number in or out
  扩展访问控制列表
  扩展访问控制列表所依据的判断条件是目标、源 ip 地址、 协议 及数据所要访问的端口。由此可得出,在判断条件上,扩展访问控制列表具有比标准的访问控制列表更加灵活的优势,能够完成很多标准访问不能完成的工作
  命令格式
   同样在全局模式下创建列表:
   Router config )# access list access list number dynamic dynamic name }{ timeout mintes }{ permit or deny protocol soure soure wildcard destination destination wildcard precdence precedence tos tos} {time-range time-range-name}
  命名访问控制列表
   cisco ios 软件 11.2 版本中引入了 IP 命名 ACL ,其允许在标准和扩展访问控制列表中使用名字代替数字来表示 ACL 编号
  创建命名 ACL 语法格式:
   router config )# ip access list extend or standard} name
   router config-ext-nacl #{permit  or deny } protocols soure soure wildcard {operator destination destination wildcard operator }{ established
  注: established 是可选项,只针对于 tcp 协议
  还有 vty 的限制,其 ACL 的建立与在端口上建立 ACL 一样,只是应用在 vty ACL 到虚拟连接时,用命令 access class 代替命令 access group
  放置 ACL
  一般原则:尽可能把扩展 acl 放置在距离要被拒绝的通信流量近的地方。标准 ACL 由于不能指定目的地址,所以它们应该尽可能放置在距离目的地最近的地主。
  查看 ACL
R3#Show access-list
Extended IP access list 100
    deny ip host 192.168.3.4 host 192.168.4.3 (2 match(es))
    permit ip any any (16 match(es))
 
100拓展IP访问列表
主机的ip主机192.168.3.4否认192.168.4.3(2场比赛(es)
允许ip任何任何(16比赛(es)
 
R3#Show ip access-list     (只显示 ip 访问控制列表)
Extended IP access list 100
    deny ip host 192.168.3.4 host 192.168.4.3 (2 match(es))
    permit ip any any (16 match(es))