【文章內容簡介】 匹配順序 ACL 的執(zhí)行順序是從上往下執(zhí)行， Cisco IOS 按照各描述語句在 ACL 中的順序，根據各描述語句的判斷條件，對數據包進行檢查。一旦找到了某一匹配條件，就結束比較過程，不再檢查以后的其他條件判斷語句。 在寫 ACL 時，一定要遵循最為精確匹配的 ACL 語句一定要卸載最前面的原則，只有這樣才能保證不會出現無用的 ACL 語句 圖 2 ACL的匹配順序 訪問控制列表的 創(chuàng)建 標準 ACL命令的詳細語法 4 1． 創(chuàng)建 ACL 定義 例如 ： Router(config)accesslist 1 permit 2． 應用于接口 例如： Router(configif)ip accessgroup 1 out 擴展 ACL 命令的詳細語法 1. 創(chuàng)建 ACL 定義 例如 ： accelllist101 permit host any eq tel 2. 應用于接口 例如： Router(configif)ip accessgroup 101 out 下面更詳細的介紹擴展 ACL的各個參數： Router(config) accesslist accesslistnumber { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] 表 1 擴展 ACL參數描述 參數 參數描述 accesslistnumber 訪問控制列表表號 permit|deny 如果滿足條件，允許或拒絕后面指定特定地址的通信流量 protocol 用來指定協議類型，如 IP、 TCP、 UDP、 ICMP 等 Source and destination 分別用來標識源地址和目的地址 sourcemask 通配符掩碼，跟源地址相對應 destinationmask 通 配符掩碼，跟目的地址相對應 operator lt,gt,eq,neq(小于，大于，等于，不等于 ) operand 一個端口號 established 如果數據包使用一個已建立連接，便可允許 TCP 信息通過 5 表 2 常見端口號 端口號 (Port Number) 20 文件傳輸協議（ FTP）數據 21 文件傳輸協議（ FTP）程序 23 遠程登錄（ Tel） 25 簡單郵件傳輸協議（ SMTP） 69 普通文件傳送協議（ TFTP） 80 超文本傳輸協議 (HTTP) 53 域名服 務系統（ DNS） 標準 ACL與擴展 ACL 的比較： 圖 3 標準 ACL與擴展 ACL的比較 通配符掩碼 通配符掩碼是一個 32 位的數字字符串， 0表示“檢查相應的位”， 1 表示“不檢查（忽略）相應的位”。 IP 地址掩碼的作用：區(qū)分網絡為和主機位，使用的是與運算。 0和任何數相乘都得 0， 1 和任何數相乘都得任何數。 通配符掩碼：把需要準確匹配的位設為 0，其他位為 1，進行或運算。 1 或任何數都得 1， 0 或任何數都得任何數。 特殊的通配符掩碼： 6 Host 正確放置 ACL ACL 通過制定的規(guī)則過濾數據包，并且丟棄不希望抵達目的地址的不安全數據包來達到 控制通信流量的目的。但是網絡能否有效地減少不必要的通信流量，同時達到保護內部網絡的目的，將 ACL放置在哪個位置也十分關鍵。 假設存在著一個簡單的運行在 TCP/IP 協議的網絡環(huán)境，分成 4 個網絡，設置一個ACL 拒絕 從 網絡 1 到網絡 4 的訪問。根據減少不必要通信流量的準則，應該把 ACL 放置于被拒絕的網絡，即網絡 1 處，在本例中 是圖中的 路由器 A 上。但如果按這個準則設置ACL 后會發(fā)現，不僅是網絡 1與網絡 4不能連通，網絡 1與網絡 2和 3也都不能連通?；貞洏藴?ACL 的特性就能知道，標準 ACL 只檢查數據包的中的源地址部分，在本例子中，凡是發(fā)現源地址為網絡 1網段的數據包都會被丟棄 ， 造成了網絡 1不能與其他網絡聯通的現象 。由此可知，根據這個準則放置的 ACL 不能達到目的，只有將 ACL 放置在目的網絡，在本例子中即是網絡 4中的路由器 D 上，才能達到禁止網絡 1訪問網絡 4 的目的。由此可以得出一個結論，標準 訪問 控制列表應盡量放置在靠近目的端口的位置。 在本例子中，如果 使用擴展 ACL 來達到同樣的要求 ，則 完全 可以把 ACL 放置在網絡1的路由器 A 上。 這是因為 擴展訪問控制列表不僅檢查數據包中的源地址，還 會檢查數據包中的目的地址、源端口、目的端口等參數。放置在路由器 A 中的訪問控制列表只要檢查出數據包的目的地址是指向網絡 4的網段，則會丟棄這個數據包，而檢查出數據包的目的地址是指向網絡 2和 3的網段，則會讓這個數據包通過。既滿足了減少網絡通信流量的要求，又達到了阻擋某些網絡訪問的目的。由此，可以得出一個結論， 擴展訪問控制列表應盡量放置在靠近源端口的位置。 圖 4 正確設置 ACL 編輯原則 ： 7 標準 ACL 要盡量靠近目的端 擴展 ACL 要盡量靠近源端 3 訪問控制列表的配置 訪問控制列表配置 配置 標準 訪問控制列表 以下是 標準 訪問列表的 常用配置命令 。 跳過簡單 的路由器和 PC的 IP地址設置 R1 的標準訪問控制列表 R1(config)accesslist 1 deny R1(config)accesslist 1 permit any R1(config)accesslist 2 permit 實驗調試 命令 在 PC1 網絡所在的主機上 ping ，應該通，在 PC2 網絡所在的主機上 ping ,應該不通，在主機 PC3 上 Tel ,應該成功。 ?? Outgoing access list is not set Inbound access list is 1 ?? 以上輸出表明在接口 S2/0 的入方向應用了訪問控制列表 1。 配置擴展 訪問控制列表 相比基本訪問控制列表，擴展訪問控制列表更加復 雜，不僅需要讀取數據包的源地址，還有目的地址、源端口和目的端口。 8 圖 5 用擴展 ACL檢查數據包 擴展訪問 控制列表的常見配置命令 。 R1 R1(config)accesslist 100 permit tcp host eq 分別在訪問路由器 R2 的 Tel 和 WWW服務，然后查看訪問控制列表 100： R1show ip accesslists 100 Extended IP access list 100 permit tcp host eq ?? 命名 ACL 是 以后支持的新特性。命名 ACL 允許在標準 ACL 和擴展 ACL 中使用字符串代替前面所使用的數字來表示 ACL，命名 ACL 還可以被用來從某一特定的 ACL中刪除個別的控制條目，這樣可以讓網絡管理員方便地修改 ACL。 它提供的兩個主要優(yōu)點是： ① 解決 ACL 的號碼不足問題； ② 可以自由的刪除 ACL 中的一條語句，而不必刪除整個 ACL。 命名 ACL 的主要不足之處在于無法實現在任意位置加入新的 ACL 條目。 語法為： Router(config) ip accesslist { standard | extended } name 名字字符串要唯一 Router(config {std | ext}nacl) { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 允許或拒絕陳述