訪問控制列表簡述

訪問控制列表(Access Control Lists,簡稱ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。ACL讀取第三層、第四層包頭信息,并根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),武夷山企業(yè)網(wǎng)站建設(shè),武夷山品牌網(wǎng)站建設(shè),網(wǎng)站定制,武夷山網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,武夷山網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

---

---

ACL的功能

1.限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能
2.提供對通信流量的控制手段
3.提供網(wǎng)絡(luò)訪問的基本安全手段
4.在網(wǎng)絡(luò)設(shè)備接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種類型的通信流量被阻塞

---

---

ACL的工作原理

1.訪問控制列表在接口應(yīng)用的方向：

出方向：已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包
入方向：已達(dá)到路由器接口的數(shù)據(jù)包，將被路由器處理
列表應(yīng)用到接口方向與數(shù)據(jù)方向有關(guān)

2.訪問控制列表的處理過程：

ACL規(guī)則：匹配為自上而下逐條匹配，默認(rèn)隱含的拒絕是拒絕所有（any）

白名單
允許  1.2
允許  1.3

拒絕所有(可不寫,隱含的拒絕會拒絕所有)

**黑名單**
拒絕  1.2
拒絕  1.3

允許所有(必須寫,否則隱含的拒絕會拒絕所有)

---

---

ACL的類型

標(biāo)準(zhǔn)訪問控制列表

基于IP地址過濾數(shù)據(jù)包
標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號是1~99

---

擴(kuò)展訪問控制列表

基于源IP、目標(biāo)IP地址、指定協(xié)議、端口和標(biāo)志來過濾數(shù)據(jù)包
擴(kuò)展訪問控制列表的訪問控制列表號是100~199

---

命名訪問控制列表

命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名稱待敵表號
調(diào)整安全策略相對靈活

---

---

ACL的配置命令

1.創(chuàng)建ACL

access-list access-list-number { permit | deny} source [source-wildcard ]      
//permit表示允許數(shù)據(jù)包通過 ,deny表示拒絕數(shù)據(jù)包通過 ,source [ source-wildcard ]只對源IP進(jìn)行控制+(反子網(wǎng)掩碼)

范例演示

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
//允許192.168.1.0/24和主機(jī)192.168.2.2的流量通過

---

2.刪除ACL

no access-list access-list-number      //直接刪除ACL列表號

---

3.隱含的拒絕語句

access-list 1 deny 0.0.0.0 255.255.255.255      //拒絕所有ip      

---

4.關(guān)鍵字

host      //host后面可跟ip地址,免去子網(wǎng)掩碼的輸入
any      //等同于拒絕所有ip

5.ACL 應(yīng)用于接口

ip access-group access-list-number {in | out}      //in定義于離控制方最近的端口

6.取消ACL在接口上 的應(yīng)用

no ip access-group access-list-number {in | out}

---

---

ACL標(biāo)準(zhǔn)版配置演示

1.首先配置交換機(jī)

conf t                               //進(jìn)入全局模式
no ip routing       //關(guān)閉路由功能
int f1/0                //進(jìn)入端口f1/0
speed 100        //配置速率
dup full              //配置全雙工模式

---

2.配置路由器R2

conf t
int f0/0
ip add 192.168.10.1 255.255.255.0        //配置端口f0/0的IP地址
no shut
nt f0/1
p add 192.168.20.1 255.255.255.0        //配置端口f0/1的IP地址
no shut
do show ip route            //查看路由表

---

3.PC機(jī)配置IP地址
(1)配置PC1的IP地址及網(wǎng)關(guān)

ip 192.168.10.2 192.168.10.1

(2)配置PC2的IP地址及網(wǎng)關(guān)

ip 192.168.10.3 192.168.10.1 

(3)配置PC3的IP地址及網(wǎng)關(guān)

ip 192.168.20.2 192.168.20.1

---

4.測試PC機(jī)間的通訊

PC1> ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=31.242 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=31.241 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=31.243 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=31.222 ms

PC3> ping 192.168.10.3
192.168.10.3 icmp_seq=1 timeout
84 bytes from 192.168.10.3 icmp_seq=2 ttl=63 time=31.518 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=63 time=31.266 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=63 time=31.263 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=63 time=31.244 ms

---

5.在路由器R1上創(chuàng)建ACL并使用在f0/0端口

access-list 1 deny host 192.168.10.2        //拒絕ip為192.168.10.2 的主機(jī)訪問
access-list 1 permit any          //允許其他所有ip訪問
int f0/0
ip access-group 1 in                 //將ACL應(yīng)用與f0/0端口的入方向
do show access-list            //查看ACL列表

---

6.驗(yàn)證ACL配置
(1)測試PC1與PC3 通訊

PC1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=31.223 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=15.618 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=15.621 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=15.622 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=15.620 ms (ICMP type:3, code:13, Communication administratively prohibited)

結(jié)論:發(fā)現(xiàn)無法通訊并提示通訊被管理方禁止,ACL生效

---

(2)測試PC1 與PC2 通訊

PC1> ping 192.168.10.3
84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=0.000 ms

結(jié)論:局域網(wǎng)內(nèi)部不受ACL限制,可以正常通訊

分享題目：ACL訪問控列表之標(biāo)準(zhǔn)篇(理論與實(shí)踐)
網(wǎng)址分享：http://redsoil1982.com.cn/article30/gcigso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、、網(wǎng)站制作、App設(shè)計(jì)、網(wǎng)站排名、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)