Cisco访问控制列表.pdfVIP

欢迎共阅 cisco路由器配置 ACL 详解 如果有人说路由交换设备主要就是路由和交换的功能， 仅仅在路由交换数据包时应用的话他一定是 个门外汉。 如果仅仅为了交换数据包我们使用普通的 HUB就能胜任，如果只是使用路由功能我们完全可以选 择一台 WINDOWS 服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途， 那就是网络管理， 学会通过硬件设备来方便有效的管理网络 是每个网络管理员必须掌握的技能。 今天我们就为大家简单介绍访问控制列表在 CISCO路由交换上 的配置方法与命令。 什么是 ACL ？ 访问控制列表简称为 ACL ，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层 包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤， 从而达到访问控制的目的。 该技术初期仅在路由器上支持， 近些年来已经扩展到三层交换机， 部分 最新的二层交换机也开始提供 ACL 的支持了。 访问控制列表使用原则 由于ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全 掌握全部 ACL 的配置。在介绍例子前为大家将 ACL 设置原则罗列出来，方便各位读者更好的消化 ACL 知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。 也就是说被控制的总规则是各个规则的交集， 只满足 部分条件的是不容许通过规则的。 2 、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在 ACL 中一条条检测的，只要 发现符合条件了就立刻转发，而不继续检测下面的 ACL 语句。 3 、默认丢弃原则 在路由交换设备中默认最后一句为 ACL 中加入了 DENY ANY ANY ，也就是丢弃所有不符合条 件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL 是使用包过滤技术来实现的， 过滤的依据又仅仅只是第三层和第四层包头中的部分信 息，这种技术具有一些固有的局限性， 如无法识别到具体的人， 无法识别到应用内部的权限级别等。 因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 分类： 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表： 访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL 。其中最简单的就是标准访问控制 列表，标准访问控制列表是通过使用 IP包中的源 IP地址进行过滤，使用的访问控制列表号 1到99 来 创建相应的 ACL 欢迎共阅 访问控制列表 ACL 分很多种，不同场合应用不同种类的 ACL 。其中最简单的就是标准访问控制列表， 他是通过使用 IP包中的源 IP地址进行过滤，使用的访问控制列表号 1到99来创建相应的 ACL 。 标准访问控制列表的格式： 标准访问控制列表是最简单的 ACL 。 它的具体格式如下： access-list ACL 号 permit|deny host ip 地址 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下： 55 0.0.0 小提示： 标准访问控制列表实例一： 环境介绍： 实例 1： 路由器配置命令 access-list 1 deny any 设置ACL ，阻止其他一切 IP地址进行通讯传输。 int e 1 进入 E1端口。 ip access-group 1 in 将ACL 1 宣告。 小提示： 由于默认添加了 DENY ANY 的语句在每个 ACL 中，所以上面的 access-li