【文章內(nèi)容簡(jiǎn)介】 匹配順序 ACL 的執(zhí)行順序是從上往下執(zhí)行， Cisco IOS 按照各描述語句在 ACL 中的順序，根據(jù)各描述語句的判斷條件，對(duì)數(shù)據(jù)包進(jìn)行檢查。一旦找到了某一匹配條件，就結(jié)束比較過程，不再檢查以后的其他條件判斷語句。 在寫 ACL 時(shí)，一定要遵循最為精確匹配的 ACL 語句一定要卸載最前面的原則，只有這樣才能保證不會(huì)出現(xiàn)無用的 ACL 語句 圖 2 ACL的匹配順序 訪問控制列表的 創(chuàng)建 標(biāo)準(zhǔn) ACL命令的詳細(xì)語法 4 1． 創(chuàng)建 ACL 定義 例如 ： Router(config)accesslist 1 permit 2． 應(yīng)用于接口 例如： Router(configif)ip accessgroup 1 out 擴(kuò)展 ACL 命令的詳細(xì)語法 1. 創(chuàng)建 ACL 定義 例如 ： accelllist101 permit host any eq tel 2. 應(yīng)用于接口 例如： Router(configif)ip accessgroup 101 out 下面更詳細(xì)的介紹擴(kuò)展 ACL的各個(gè)參數(shù)： Router(config) accesslist accesslistnumber { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] 表 1 擴(kuò)展 ACL參數(shù)描述 參數(shù) 參數(shù)描述 accesslistnumber 訪問控制列表表號(hào) permit|deny 如果滿足條件，允許或拒絕后面指定特定地址的通信流量 protocol 用來指定協(xié)議類型，如 IP、 TCP、 UDP、 ICMP 等 Source and destination 分別用來標(biāo)識(shí)源地址和目的地址 sourcemask 通配符掩碼，跟源地址相對(duì)應(yīng) destinationmask 通 配符掩碼，跟目的地址相對(duì)應(yīng) operator lt,gt,eq,neq(小于，大于，等于，不等于 ) operand 一個(gè)端口號(hào) established 如果數(shù)據(jù)包使用一個(gè)已建立連接，便可允許 TCP 信息通過 5 表 2 常見端口號(hào) 端口號(hào) (Port Number) 20 文件傳輸協(xié)議（ FTP）數(shù)據(jù) 21 文件傳輸協(xié)議（ FTP）程序 23 遠(yuǎn)程登錄（ Tel） 25 簡(jiǎn)單郵件傳輸協(xié)議（ SMTP） 69 普通文件傳送協(xié)議（ TFTP） 80 超文本傳輸協(xié)議 (HTTP) 53 域名服 務(wù)系統(tǒng)（ DNS） 標(biāo)準(zhǔn) ACL與擴(kuò)展 ACL 的比較： 圖 3 標(biāo)準(zhǔn) ACL與擴(kuò)展 ACL的比較 通配符掩碼 通配符掩碼是一個(gè) 32 位的數(shù)字字符串， 0表示“檢查相應(yīng)的位”， 1 表示“不檢查（忽略）相應(yīng)的位”。 IP 地址掩碼的作用：區(qū)分網(wǎng)絡(luò)為和主機(jī)位，使用的是與運(yùn)算。 0和任何數(shù)相乘都得 0， 1 和任何數(shù)相乘都得任何數(shù)。 通配符掩碼：把需要準(zhǔn)確匹配的位設(shè)為 0，其他位為 1，進(jìn)行或運(yùn)算。 1 或任何數(shù)都得 1， 0 或任何數(shù)都得任何數(shù)。 特殊的通配符掩碼： 6 Host 正確放置 ACL ACL 通過制定的規(guī)則過濾數(shù)據(jù)包，并且丟棄不希望抵達(dá)目的地址的不安全數(shù)據(jù)包來達(dá)到 控制通信流量的目的。但是網(wǎng)絡(luò)能否有效地減少不必要的通信流量，同時(shí)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的，將 ACL放置在哪個(gè)位置也十分關(guān)鍵。 假設(shè)存在著一個(gè)簡(jiǎn)單的運(yùn)行在 TCP/IP 協(xié)議的網(wǎng)絡(luò)環(huán)境，分成 4 個(gè)網(wǎng)絡(luò)，設(shè)置一個(gè)ACL 拒絕 從 網(wǎng)絡(luò) 1 到網(wǎng)絡(luò) 4 的訪問。根據(jù)減少不必要通信流量的準(zhǔn)則，應(yīng)該把 ACL 放置于被拒絕的網(wǎng)絡(luò)，即網(wǎng)絡(luò) 1 處，在本例中 是圖中的 路由器 A 上。但如果按這個(gè)準(zhǔn)則設(shè)置ACL 后會(huì)發(fā)現(xiàn)，不僅是網(wǎng)絡(luò) 1與網(wǎng)絡(luò) 4不能連通，網(wǎng)絡(luò) 1與網(wǎng)絡(luò) 2和 3也都不能連通?；貞洏?biāo)準(zhǔn) ACL 的特性就能知道，標(biāo)準(zhǔn) ACL 只檢查數(shù)據(jù)包的中的源地址部分，在本例子中，凡是發(fā)現(xiàn)源地址為網(wǎng)絡(luò) 1網(wǎng)段的數(shù)據(jù)包都會(huì)被丟棄 ， 造成了網(wǎng)絡(luò) 1不能與其他網(wǎng)絡(luò)聯(lián)通的現(xiàn)象 。由此可知，根據(jù)這個(gè)準(zhǔn)則放置的 ACL 不能達(dá)到目的，只有將 ACL 放置在目的網(wǎng)絡(luò)，在本例子中即是網(wǎng)絡(luò) 4中的路由器 D 上，才能達(dá)到禁止網(wǎng)絡(luò) 1訪問網(wǎng)絡(luò) 4 的目的。由此可以得出一個(gè)結(jié)論，標(biāo)準(zhǔn) 訪問 控制列表應(yīng)盡量放置在靠近目的端口的位置。 在本例子中，如果 使用擴(kuò)展 ACL 來達(dá)到同樣的要求 ，則 完全 可以把 ACL 放置在網(wǎng)絡(luò)1的路由器 A 上。 這是因?yàn)?擴(kuò)展訪問控制列表不僅檢查數(shù)據(jù)包中的源地址，還 會(huì)檢查數(shù)據(jù)包中的目的地址、源端口、目的端口等參數(shù)。放置在路由器 A 中的訪問控制列表只要檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò) 4的網(wǎng)段，則會(huì)丟棄這個(gè)數(shù)據(jù)包，而檢查出數(shù)據(jù)包的目的地址是指向網(wǎng)絡(luò) 2和 3的網(wǎng)段，則會(huì)讓這個(gè)數(shù)據(jù)包通過。既滿足了減少網(wǎng)絡(luò)通信流量的要求，又達(dá)到了阻擋某些網(wǎng)絡(luò)訪問的目的。由此，可以得出一個(gè)結(jié)論， 擴(kuò)展訪問控制列表應(yīng)盡量放置在靠近源端口的位置。 圖 4 正確設(shè)置 ACL 編輯原則 ： 7 標(biāo)準(zhǔn) ACL 要盡量靠近目的端 擴(kuò)展 ACL 要盡量靠近源端 3 訪問控制列表的配置 訪問控制列表配置 配置 標(biāo)準(zhǔn) 訪問控制列表 以下是 標(biāo)準(zhǔn) 訪問列表的 常用配置命令 。 跳過簡(jiǎn)單 的路由器和 PC的 IP地址設(shè)置 R1 的標(biāo)準(zhǔn)訪問控制列表 R1(config)accesslist 1 deny R1(config)accesslist 1 permit any R1(config)accesslist 2 permit 實(shí)驗(yàn)調(diào)試 命令 在 PC1 網(wǎng)絡(luò)所在的主機(jī)上 ping ，應(yīng)該通，在 PC2 網(wǎng)絡(luò)所在的主機(jī)上 ping ,應(yīng)該不通，在主機(jī) PC3 上 Tel ,應(yīng)該成功。 ?? Outgoing access list is not set Inbound access list is 1 ?? 以上輸出表明在接口 S2/0 的入方向應(yīng)用了訪問控制列表 1。 配置擴(kuò)展 訪問控制列表 相比基本訪問控制列表，擴(kuò)展訪問控制列表更加復(fù) 雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。 8 圖 5 用擴(kuò)展 ACL檢查數(shù)據(jù)包 擴(kuò)展訪問 控制列表的常見配置命令 。 R1 R1(config)accesslist 100 permit tcp host eq 分別在訪問路由器 R2 的 Tel 和 WWW服務(wù)，然后查看訪問控制列表 100： R1show ip accesslists 100 Extended IP access list 100 permit tcp host eq ?? 命名 ACL 是 以后支持的新特性。命名 ACL 允許在標(biāo)準(zhǔn) ACL 和擴(kuò)展 ACL 中使用字符串代替前面所使用的數(shù)字來表示 ACL，命名 ACL 還可以被用來從某一特定的 ACL中刪除個(gè)別的控制條目，這樣可以讓網(wǎng)絡(luò)管理員方便地修改 ACL。 它提供的兩個(gè)主要優(yōu)點(diǎn)是： ① 解決 ACL 的號(hào)碼不足問題； ② 可以自由的刪除 ACL 中的一條語句，而不必刪除整個(gè) ACL。 命名 ACL 的主要不足之處在于無法實(shí)現(xiàn)在任意位置加入新的 ACL 條目。 語法為： Router(config) ip accesslist { standard | extended } name 名字字符串要唯一 Router(config {std | ext}nacl) { permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 允許或拒絕陳述