第一章 ACL--访问控制列表

自强不息厚德载物第一章访问控制列表（ACL）理解ACL的基本原理会配置标准ACL会配置扩展ACL会配置ACL对网络进行控制本课程目标学习完本课程，您应该能够：本章结构访问控制列表的配置标准访问控制列表的配置扩展访问控制列表的配置命名访问控制列表配置访问控制列表访问控制列表的工作原理访问控制列表的类型访问控制列表概述访问控制列表的应用定时访问控制列表的配置3访问控制列表概述•访问控制列表（ACL）–读取第三层、第四层包头信息–根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则4访问控制列表的工作原理•访问控制列表在接口应用的方向•访问控制列表的处理过程拒绝允许允许允许到达访问控制组接口的数据包匹配第一条目的接口隐含的拒绝丢弃YYYYYYNNN匹配下一条拒绝拒绝拒绝匹配下一条5访问控制列表类型•标准访问控制列表•扩展访问控制列表•命名访问控制列表•定时访问控制列表6访问控制列表反码7192.168.1.0/24子网掩码：255.255.255.0反向掩码：0.0.0.255子网掩码为1的位，在反向掩码中为0；子网掩码为0的位，在反向掩码中为1。例如：192.168.2.0/28的反向掩码应该是多少？访问控制列表反码8控制所有网络流量0.0.0.0255.255.255.255=any控制192.168.1.2一台主机流量192.168.1.20.0.0.0=host192.168.1.2控制192.168.1.0/24一个网络流量192.168.1.00.0.0.255控制一个子网192.168.1.0/28流量192.168.1.00.0.0.15控制多个子网192.168.1.0—192.168.3.0/24流量192.168.0.00.0.3.255标准ACL与扩展ACL区别•标准ACL只根据源IP过滤，列表号1-99•扩展ACL根据源、目IP、协议、端口过滤，列表号100-199标准访问控制列表配置3-1•创建ACLRouter(config)#access-listaccess-list-number{permit|deny}source[source-wildcard]•删除ACLRouter(config)#noaccess-listaccess-list-number允许拒绝10标准访问控制列表配置3-2•应用实例Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#access-list1permit192.168.2.20.0.0.0–允许192.168.1.0/24和主机192.168.2.2的流量通过•隐含的拒绝语句Router(config)#access-list1deny0.0.0.0255.255.255.255•关键字–host–any11标准访问控制列表配置3-312•将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}•在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}标准访问控制列表配置实例•需求描述–禁止主机PC1与主机PC2互访，允许所有其他的流量•在哪个接口应用标准ACL–应用在入方向还是出方向–应用在哪台路由器192.168.1.1/24.192.168.3.1/24R1PC1F0/0F0/0F0/0R2R3PC2192.168.2.0/24R3(config)#access-list1denyhost192.168.1.1R3(config)#access-list1permitanyR3(config)#intf0/0R3(config-if)#ipaccess-group1inR3#showaccess-listsStandardIPaccesslist110deny192.168.1.120permitany13扩展访问控制列表配置2-1•创建ACLRouter(config)#access-listaccess-list-number{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]•删除ACLRouter(config)#noaccess-listaccess-list-number•将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}•在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-number{in|out}14•Protocol:IP：所有IP流量TCP:UDPICMPSource:源IP+反码Destination：目IP+反码Operator：eq等于gt大于lt小于neq不等于扩展访问控制列表配置2-2•应用实例1Router(config)#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Router(config)#access-list101denyipanyany•应用实例2Router(config)#access-list101denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config)#access-list101permitipanyany•应用实例3Router(config)#access-list101denyicmp192.168.1.00.0.0.255host192.168.2.2Router(config)#access-list101permitipanyany16R1(config)#access-list111permittcphost192.168.1.1host192.168.3.1eq80R1(config)#access-list111denyiphost192.168.1.1host192.168.3.1R1(config)#access-list111permitiphost192.168.1.1192.168.2.00.0.0.255Intf0/0Ipaccess-group111in扩展访问控制列表配置实例•需求描述–允许PC1访问Web服务器的服务–禁止PC1访问Web服务器的其它服务–允许主机PC1访问网络192.168.2.0/24192.168.1.1/24192.168.3.1/24R1PC1F0/0F0/0F0/0R2R3192.168.2.0/24Web17命名访问控制列表配置5-1•创建ACLRouter(config)#ipaccess-list{standard|extended}access-list-name–配置标准命名ACLRouter(config-std-nacl)#[Sequence-Number]{permit|deny}source[source-wildcard]–配置扩展命名ACLRouter(config-ext-nacl)#[Sequence-Number]{permit|deny}protocol{sourcesource-wildcarddestinationdestination-wildcard}[operatoroperan]标准命名ACL扩展命名ACLSequence-Number决定ACL语句在ACL列表中的位置18命名访问控制列表配置5-2•标准命名ACL应用实例查看ACL配置信息Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.120denyanyRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#denyany允许来自主机192.168.1.1/24的流量通过更改ACL,又允许来自主机192.168.2.1/24的流量通过Router(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#15permithost192.168.2.1Router#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.115permit192.168.2.120denyany添加序列号为15的ACL语句ACL语句添加到了指定的ACL列表位置19命名访问控制列表配置5-3•扩展命名ACL应用实例Router(config)#ipaccess-listextendedciscoRouter(config-ext-nacl)#denytcp192.168.1.00.0.0.255host192.168.2.2eq21Router(config-ext-nacl)#permitipanyany20命名访问控制列表配置5-4删除整组ACLRouter(config)#noipaccess-list{standard|extended}access-list-name删除组中单一ACL语句noSequence-NumbernoACL语句创建ACLRouter(config)#ipaccess-liststandardciscoRouter(config-std-nacl)#permithost192.168.1.1Router(config-std-nacl)#endRouter#showaccess-listsStandardIPaccesslistcisco10permit192.168.1.1删除组中单一ACL语句Router(config-std-nacl)#no10或Router(config-std-nacl)#nopermithost192.168.1.121命名访问控制列表配置5-5•将ACL应用于接口Router(config-if)#ipaccess-groupaccess-list-name{in|out}•在接口上取消ACL的应用Router(config-if)#noipaccess-groupaccess-list-name{in|out}22定义时间范围•定义时间范围的名称Router(config)#time-rangetime-range-name•指定该时间范围何时生效–定义一个时间周期Router(config-time-range)#periodicdays-of-the-weekhh:mmto[days-of-the-week]hh:mm–定义一个绝对时间Router(config-time-range)#absolute[starthh:mmdaymonthyear][endhh:mmdaymonthyear]•参数days-of-the-week的取值取值说明Monday星期一Tuesday星期二Wednesday星期三Thursday星期四Friday星期五Saturday星期六Sunday星期日daily每天weekdays在平日(指星期一至星期五)weekend周末（指星期六和星期日）23定时访问控制列表配置2-1•扩展ACL中引入时间范围Router(config)#access-listaccess-list-number{permit|deny}protocol{sources