cisco路由器配置ACL详解.docxVIP

cisco 路由器配置 ACL 详解 　　如果有人说路由交换设备主要就是路由和交换的功能，仅仅在路由交换数 据包时应用的话他一定是个门外汉。 　　如果仅仅为了交换数据包我们使用普通的 HUB 就能胜任，如果只是使用路 由功能我们完全可以选择一台 WINDOWS 服务器来做远程路由访问配置。 　　实际上路由器和交换机还有一个用途，那就是网络管理，学会通过硬件设 备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大 家简单介绍访问控制列表在 CISCO 路由交换设备上的配置方法与命令。 　　什么是 ACL？ 　　访问控制列表简称为 ACL，访问控制列表使用包过滤技术，在路由器上读 取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等， 根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期 仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机 也开始提 供 ACL 的支持了。 　　访问控制列表使用原则 　　由于 ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一 个小小的例子就完全掌握全部 ACL 的配置。在介绍例子前为大家将 ACL 设置原 则罗列出来，方便各位读者更好的消化 ACL 知识。 　　1、最小特权原则 　　只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是 各个规则的交集，只满足部分条件的是不容许通过规则的。 　　2、最靠近受控对象原则 　　所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在 ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的 ACL 语句。 　　3、默认丢弃原则 　　在 CISCO 路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY，也 就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这 个默认，但未改前一定要引起重视。 　　由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第 四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体 的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目 的，需要和系统级及应用级的访问权限控制结合使用。 　　标准访问列表： 　　访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL。其中最简单 的就是标准访问控制列表，标准访问控制列表是通过使用 IP 包中的源 IP 地址 进行过滤，使用的访问控制列表号 1 到 99 来创建相应的 ACL 　　标准访问控制列表的格式 　　访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL。其中最简单 的就是标准访问控制列表，他是通过使用 IP 包中的源 IP 地址进行过滤，使用 的访问控制列表号 1 到 99 来创建相应的 ACL。 　　标准访问控制列表是最简单的 ACL。 　　它的具体格式如下：access-list ACL 号 permit|deny host ip 地址 　　例如：access-list 10 deny host 这句命令是将所有来自 地址的数据包丢弃。 　　当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access- list 10 deny 55 　　通过上面的配置将来自 /24 的所有计算机数据包进行过滤丢弃。 为什么后头的子网掩码表示的是 55 呢？这是 因为 CISCO 规定在 ACL 中 用反向掩玛表示子网掩码，反向掩码为 55 的代表他的子网掩码为 。 　　小提示：对于标准访问控制列表来说，默认的命令是 HOST，也就是说 access-list 10 deny 表示的是拒绝 这台主机数据 包通讯，可以省去我们输入 host 命令。 　　标准访问控制列表实例一 　　我们采用如图所示的网络结构。路由器连接了二个网段，分别为 /24，/24。在 /24 网段中有一台服务器提供 WWW 服务，IP 地址为 3。 　　实例 1：禁止 /24 网段中除 3 这台计算机访问 /24 的计算机。3 可以正常访问 /24。 　　路由器配置命令 　　access-list 1 permit host 3 设置 ACL，容许 3 的数据包通过。 　　access-list 1 deny any 设置 ACL，阻止其他一切 IP 地址进行通讯传输。 　　int e 1 进入 E1 端口。 　　ip access-group 1 in 将 ACL 1 宣告。 　　经过设置后 E1 端口就只容许来自 3 这个 IP 地址的数据包传输 出去了。来自其他 IP 地址的数据包都无法通过 E1 传输。 　　小提示：由于 CISCO 默认添加了 DENY ANY 的语句在每个 ACL