1. 什么是ACL?
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
2. ACL有什么样用处?
ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:某部门要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。
3. ACL的3p规则
记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:
每种协议一个 ACL 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。
每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。
每个接口一个 ACL 一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。
ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL — 协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。
4. ACL相关规范
(1)ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL,而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号,那么就会出错误。
(2)一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说,如果路由器上启用了IP和IPX两种协议栈,那么路由器的一个接口上可以配置IP、IPX两种协议,每种协议进出两个方向,共四个ACL。
(3)ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时,会按照各项描述语句在ACL中的顺序,根据各描述语句的判断条件,对数据报进行检查,一旦找到了某一匹配条件就结束比较过程,不再检查以后的其他条件判断语句。
(4)最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上,把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行,可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。
(5)新的表项只能被添加到ACL的末尾,这意味着不可能改变已有访问控制列表的功能。如果必须改变,只有先删除已存在的ACL,然后创建一个新ACL,将新ACL应用到相应的接口上。
(6)在将ACL应用到接口之前,一定要先建立ACL。首先在全局模式下建立ACL,然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。
(7)ACL语句不能被逐条的删除,只能一次性删除整个ACL。
(8)在ACL的最后,有一条隐含的“全部拒绝”的命令,所以在 ACL里一定至少有一条“允许”的语句。
(9)ACL只能过滤穿过路由器的数据流量,不能过滤由本路由器上发出的数据包。
(10)在路由器选择进行以前,应用在接口进入方向的ACL起作用。
(11)在路由器选择决定以后,应用在接口离开方向的ACL起作用。
5. access-list
控制访问列表有两种:标准的控制访问列表和扩展的控制访问列表。
•
标准
检查源地址
通常允许、拒绝的是完整的协议
能够对源地址进行过滤,是一种简单,直接的数据控制手段
•
扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
除了基于数据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂
控制访问列表的一般用法:
•
限制对网络的FTP访问
•
禁止一个子网到另一个子网的访问
•
允许规定主机Telnet访问路由器
如:不允许指定的主机TELNET访问
访问列表的配置指南
:
•
访问列表的编号指明了使用何种协议的访问列表
•
每个端口、每个方向、每条协议只能对应于一条访问
列表
•
访问列表的内容决定了数据的控制顺序
•
具有严格限制条件的语句应放在访问列表所有语句的
最上面
•
在访问列表的最后有一条隐含声明:
deny any
-每一
条正确的访问列表都至少应该有一条允许语句
•
先创建访问列表,然后应用到端口上
•
访问列表不能过滤由路由器自己产生的数据
标准访问列表的一般配置举例:
Router#
Router#configure terminal
Router(config)#
Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255
配置的访问列表是允许来自网络172.16.2.0的流量
•
Router#configure terminal
•
Router(config)#
•
Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255
•
Router(config)#access-list 2 permit any
•
Router(config)#int s0
•
Router(config-if)#ip access-group 2 out
•
Router(config-if)#
禁止来自网络172.16.3.0的流量!!!
扩展访问列表的一般配置举例:
access-list 101
deny tcp 172.16.4.0
0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
•
拒绝子网
172.16.4.0
的数据使用路由器
e0
口
ftp
到子网
172.16.3.0
•
允许其它数据
access-list 101 deny tcp 172.16.4.0
0.0.0.255
any eq 23
access-list 101 permit ip any any
(implicit deny all)
•
拒绝子网
172.16.4.0
内的主机使用路由器的
端口建立
Telnet
会话
•
允许其它数据
我们来比较一下标准的和扩展的异同:
标准:
基于源地址
允许和拒绝完整的
TCP/IP
协议
编号范围
1-99
和
1300-1999
扩展:
基于源地址和目标地址
指定
TCP/IP
的特定协议
和端口号
编号范围
100-199
和
2000-2699
我们指定特定的主机时一般用通配符掩码指明,下面我举几个例子:
例如
172.30.16.29 0.0.0.0
检查所有的地址位
可以简写为
host
(host 172.30.16.29)
所有主机
:
0.0.0.0 255.255.255.255
可以用
any
简写
下面举一个简单的例子:
R>en
password:
R#conf t
R(config)# access-list 101 deny tcp 192.168.2.0 0.0.0.255 any eq telnet // 禁用从192.168.2.0来的telnet连接
R(config)# interface fastethernet 0/0
R(config-if)# ip access-group 101 out
至此,就成功配置了。最后别忘了wr保存一下哦。