把握ACL配置的7个关键点.docVIP

把握ACL配置的7个关键点 在路由器或三层交换机上，可以通过使用访问控制列表（ACL，Access Control List）来执行数据包过滤。访问控制列表可以用来控制网络上数据包的传递、现在虚拟终端的通信量或者控制路由选择跟新，现在网络访问特定的用户和设备。细节决定成败，我们在配置访问控制列表时往往因忽视一些细节，导致访问控制列表不起作用。为充分发挥访问控制列表的强大功能，提高运行效率，在配置过程中应着重把握以下几个关键点。 关键点1：标准访问控制列表要应用在靠近目标端 标准的访问控制列表只能针对源地址进行控制，提供基本的过滤功能，用1~99的数值来作为列表的标识。配置标准访问控制列表分为两个步骤，第一步是创建列表，第二步是应用列表。但在配置过程中要弄清楚以下几点： 是要确定访问控制列表用在哪台设备上： 是要确定访问控制列表用在哪个接口上： 是要确定访问控制列表用在哪个方向上（是Out还是In）： 是列表中的语句匹配顺序是从上而下： 是要将访问控制列表用在靠近目标端的地方。 如图1所示，我们配置标准访问控制列表的要求是，不允许Router1访问Router3。首先进行分析：把Router1作为源地址，Router3作为目标地址，数据流的方向就是从左到右，从Router1到Router3，数据流共经过了4个接口，在4个接口上都可以配置访问控制列表，但所起的作用是不一样的。 图1标准访问控制 第一种情况：如果把访问控制列表用在Router1的S1/1端口，方向应该是Out，结果将不起作用。原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不进行过滤。 第二种情况：如果用在Router2的S1/0端口，方向应该是In，结果其作用。Router1不能访问Router3了，可Router1也不能访问Router2了，因为标准访问控制列表只能针对源地址，当Router1访问Router2的数据包进入路由器Router2的S1/0端口时，源地址不符合，数据包被丢弃。 第三种情况：如果用Router2的S1/1端口，方向应该是Out，结果正确。 第四种情况：如果用在Router3的S1/1端口，方向应该是In，结果正确。配置如下。 (1)在路由器上创建列表。 Router3（config）#access-list 1 deny 36.136.1.1 /*拒绝Router1的IP地址36.136.1.1，通配符掩码0.0.0.0可以省略*/ Router3（config）#access-list 1 permit any /*允许所有的IP地址，这一行不能省略，因为访问控制列表最后隐含了一条deny any的规则，如果没有这一行，所有的IP地址都将被拒绝，上面两行的顺序不能颠倒，因为匹配的顺序是从上而下的*/ 在路由器的接口上应用列表。 Router3（config）#int s1/1 Router3（config）#ip access-group 1 in /*在接口下调用访问控制列表1，针对的是从S1/1端口进入路由器Router3的流量*/ 两个步骤的炒作顺序没有关系，但两者缺一不可，创建列表没有在接口下调用，或者在接口下调用一个没有被创建的列表，都不会起作用。 以上几种情况可以得出，符合要求的应用应该在Router3的S1/1端口上进行配置，为避免出现错误，标准访问列表要应用在靠近目标端。 关键点2：扩展访问控制列表要应用在靠近源端 扩展访问控制列表功能更强大，同时使用源地址和目标地址作为过滤条件，运行使用协议类型、端口号、时间范围来过滤，可以更加精细地控制通信量。用100-199的数值来作为列表的标识。 如图1所示，我们配置扩展访问控制列表的要求是，不允许Router1去往Router3的Telnet通信。配置方法和步骤与标准访问控制列表相似。与标准访问控制列表一样，也有4个接口可供选择，关键是应用在哪个接口比较合适。 第一种情况，如果用在Router1的S1/1端口，方向是Out，结果是不起作用。原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不作过滤。 第二种情况，如果用在Router2的S1/0端口，方向是in。结果正确。配置步骤如下 在路由器上创建访问控制列表。 Router2（config）#access-list 100 deny tcp host 36.136.1.1 host 46.136.1.2 eq Telnet /*因只拒绝Telnet流量，Telnet流量使用的是TCP，目标端口是23，所有这里拒绝的协议是TCP，源地址是Route