2.6配置ACL.doc

2.6　配置ACL 2.6.1　ACL概述 ACL（Access Control List，访问控制列表如IP、IPX、AppleTalk等。限制网络流量、提高网络性能。例如，可以根据数据包的协议，指定数据包的优先级。 提供对通信流量的控制手段。例如，可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 提供网络安全访问的基本手段。ACL可以允许主机A访问网络，而拒绝主机B访问。 在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 ACL是一组条件判断语句的集合，主要定义了数据包进入路由器端口及通过路由器转发和流出路由器端口的行为。ACL不过滤路由器本身发出的数据包，只过滤经过路由器的数据包。当一个数据包进入路由器的某个端口时，路由器首先要检查该数据包是否可路由或可桥接。然后路由器将检查在该端口是否应用了ACL，如果有ACL，就将数据包与ACL中的条件语句相比较。如果数据包被允许通过，就继续检查路由表以决定转发到的目的端口。然后路由器将检查目的端口是否应用了ACL，如果没有应用，数据包将直接送到目的端口并从该端口输出。 ACL按各语句的逻辑次序顺序执行，如果与某个条件语句相匹配，数据包将被允许或拒绝通过，而不再检查剩下的条件语句。如果数据包与第一条语句没有匹配，将继续与下一条语句进行比较，如果与所有的条件语句都没有匹配，则该数据包将被丢弃。 【注意】在ACL的最后会强加一条拒绝全部流量的隐含语句，该语句是看不到的。 2.6.3　配置标准ACL 标准ACL只检查可以被路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的某一协议通过路由器，其工作流程如图所示。从路由器某一端口进来的数据包经过检查其源地址和协议类型，并于ACL条件判断语句相比较，如果匹配，则执行允许或拒绝。通常要允许或阻止来自某一网络的所有通信流量，或者要拒绝某一协议的所有通信流量时，可以使用标准ACL来实现。 在如图所示的网络中，2台Cisco 2811路由器通过串行端口相互连接，相关的IP地址信息如图所示。整个网络配置RIP路由协议，保证网络正常通信。要求在RTB上配置标准ACL，允许PC1访问路由器RTB，但拒绝/24网络中的其他主机访问RTB，并允许连接在路由器RTA的其他主机访问RTB。 （1）配置RIP路由协议 具体的配置过程与RIP配置实例类似，这里不再赘述。 （2）配置标准ACL 在路由器RTB的配置如下： RTB(config)#access-list 1 permit host //定义1号标准ACL，当主机源地址为时允许该入口的通信流量 RTB(config)#access-list 1 deny 55 //定义1号标准ACL，当源地址网络标识为时拒绝该入口的通信流量 RTB(config)#access-list 1 permit any //定义1号标准ACL，当源地址为其他时允许该入口的通信流量。这行非常重要，若不设置，路由器将拒绝其他所有流量 RTB(config)#interface s0/0/0 RTB(config-if)#ip access-group 1 in //将1号标准ACL应用于该端口，in表示对输入数据生效，out表示对输出数据生效 【注意】标准ACL的表号应该是一个从1~99或1300~1999之间的数字；另外可以使用通配符掩码来设置路由器需要检查的IP地址位数，通配符掩码是一个32位二进制数，前一部分为0表示路由器需要检查的部分，后一部分为1表示路由器不需要检查的部分。例如若源地址为，通配符掩码为55，则表示路由器只检查IP地址的前24位，必须与精确匹配，后8位的值可以任意；可以通过在access-list前加no的形式，来删除一个已经建立的标准ACL。 （3）验证标准ACL 配置完标准ACL后，可以通过以下命令进行验证。 RTB# show access lists //显示ACL Standard ip access list 1 10 permit 20 deny , wildcard bits 55(16 matches) 30 permit any (18 matches) RTB# show ip interface //查看ACL作用在IP接口上的信息，并指出是否正确设置 2.6.4　配置扩展ACL 扩展ACL可以根据数据包的源地址、目的地址、协议类型、端口号和应用来决定允许或拒绝发送该数据包，因而扩展ACL比标准ACL提供了更广阔的控制范围和更多的处理方法。路由器根据扩展ACL检查数据包的工作流程如图所示。 在如图所示的网络中，2台Cis