第15章 ACL访问控制列表

ACL访问控制列表(accesscontrollist)ACL访问控制列表：主要用于用户数据流的过滤。注：ACL在三层中被大量使用。如局域网中数据流的过滤，也可用于对外网访问的过滤。C1可访问c3不可访问c4C2可访问c4不可访问c3问题：ACLACL数据进入路由器允许允许丢弃路由表YesYesYesYesNoNo外网注：当与ACL中所有条目无法匹配时，默认的最后一条为denyanyany即：所有拒绝拒绝标准ACL：分类：1、编号型2、命名型配置（所有）：1、建立ACL2、应用ACL建立：R1(config)#access-list1permit/deny1.1.1.10.0.0.0注1：编号1代表一组ACL，而不是一条ACL注2:标准的ACL编号为1-99,1300-1999为扩展编号注3:后面跟一个地址的话，那就是源地址（与目标地址无关）注4：最后的为反码（主机地址的反码为0.0.0.0）注5：如果设为deny，则所有数据都无法通过。无论接口是否在所设条目内应用：R1(config-if)#ipaccess-group1out/in注：当在出接口设置in、或在入接口设置out时，所有数据包都无法通过该接口，但都可以到达该接口。注：ACL不能控制自身的流量。注：ACL应用在：1、源接口近，则无法与访问其他如何人。2、目标接口近，则会浪费网络流量。选择什么接口配置ACL？命名型标准ACL：R1(config)#ipaccess-liststandardcisco（建立）R1(config-std-nacl)#permit\deny1.1.1.00.0.0.255R1(config-if)#ipaccess-groupciscoout（应用）优点：1、效率比较高。2、可插入规则。R1(config-std-nacl)#15permithost1.1.1.3（插入规则）注：不建议使用插入规则，可复制到记事本，再编辑粘贴回来。问题：Loopback：1.1.1.12.2.2.13.3.3.11、Pc1不可以访问2.2.2.12、Pc1可以访问3.3.3.1标准ACL：只能将数据源地址作为过滤条件。扩展ACL：可以同时将数据源/目标地址作为过滤条件，还可以针对不同协议、协议特征、端口号、时间等作为过滤条件。pc1Pc1：1.1.1.1Pc2:11.1.1.12.2.2.1Pc3:3.3.3.1Pc4:33.3.3.1pc3pc2pc4pc1pc4pc2pc3配置扩展编号型ACL：R2(config)#access-list101permitip1.1.1.00.0.0.2553.3.3.00.0.0.255允许ip协议源地址到目标地址应用ACL：R2(config-if)#ipaccess-group101in显示控制列表：R2#showaccess-listscisco允许r3远程连接r1，相反不允许？R2(config-if)#access-list101permittcphost12.1.1.1host23.1.1.2establishedestablished（已建立），指的是已经建立连接允许pc1访问pc3，不允许pc3访问pc1？反射ACL（自反ACL）：reflect协议不变，源和目标地址对调，如果有端口，则源和目标端口也对调。Pc1：1.1.1.1Pc3:3.3.3.1R2(config)#ipaccess-listextendedcisco命名型R2(config-ext-nacl)#permitip1.1.1.00.0.0.2553.3.3.00.0.0.255reflectabcR2(config)#ipaccess-listextendedcisco1R2(config-ext-nacl)#evaluateabc评估R2(config-if)#ipaccess-groupciscooutR2(config-if)#ipaccess-groupcisco1in注：反射ACL支持的协议很丰富（如：IP,ICMP,TCP,UDP等），但一般不在内网使用，因为可能会使网络混乱，如动态路由协议失效。所以常使用在边界路由中。