文本课件参考icnd210s06l.pptxVIP

网络管理员经常面临进退进退维谷的困境，他们必须设法拒绝那些不希望的访问连接，同时又要允许那些正常的访问连接。

虽然其他一些安全工具，比如设置密码、回叫信号设备以及硬件的保密装置等也带来许多帮助，但它们经常缺乏基本的通信流量过滤的灵活性和特定的控制手段，而这正是许多网络管理员所想要的。例如，管理员或许想允许LAN内的用户访问因特网，同时却不愿意LAN以外的用户通过因特网使用Telnet登陆到LAN。而路由器提供的ACL（访问控制列表）能实现上述的目的。

本章你将学习使用标准和扩展ACL作为控制网络通信流量的手段以及ACL如何作为安全解决方案的一部分。

实际上，访问控制列表是一连续的允许(permit)和拒绝(deny)陈述语句的集合，这些陈述语句对数据报的地址或上层协议（网络层以上的协议）进行控制。

在CISCO路由器中只要涉及到安全的环节总离不开ACL的身影，它也同时是CISCO安全课程中的绝对重点。;ACL是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据报可以接收，哪些数据报需要拒绝。

至于数据报是接收还是拒绝，可以根据三层或四层信息来决定，这就涉及到后面的ACL的分类问题。

ACL适用于所有的可路由协议，如IP、IPX等。

ACL的定义是基于每一种可路由协议的。换言之，如果想控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的ACL。

比如，要是你的路由器接口配置成支持3中协议（IP、IPX、APPLETALK），那么你至少得定义3个访问列表（ACL）。这里只涉及IP，其他的由于基本属于被淘汰的行列，所以就不涉及了。

建立ACL的原因很多。例如：

1、限制网络流量、提高网络性能：ACL可以和QOS（服务质量）技术结合，根据数据报的协议，指定这种类型数据报有更高的优先级，可预先被路由器处理，丢弃那些不需要的数据报。这样一来，不但限制流量，而且减少了网络拥塞。

2、提供对通信流量的控制手段。例如，ACL可以和路由过滤技术结合限定或简化路由选择更新信息的长度，从而控制某一网段的通信流量。

3、提供网络访问的基本安全手段。比如时间ACL，控制访问的时间；比如自反ACL，实现单向访???；比如实施CBAC（基于上下文ACL）实现路由器的防火墙功能。

4、在路由器接口处，决定哪种类型的通信流量被转发、哪种流量被阻塞。比如允许E-MAIL流量，而阻塞TELNET流量。;ACL应用：过滤;访问列表的其他应用：分类

1、QOS应用：可以和WFQ（加权公平队列）、PQ（优先级队列）、CQ（自定义队列）相结合控制数据流的优先级实现资源配置最佳化。

2、DDR（按需拨号路由）：主要用在拨号电路交换中，如ISDN等，作为感兴趣的流触发呼叫。

3、路由过滤：与路由分发和路由过滤技术结合从而优化带宽。

4、地址转换：与NAT结合定义哪些数据流量可以进行NAT操作（我们叫NAT感兴趣的流），访问INTERNET。

5、策略路由：通过ACL与Route-map（路由映射图，专门用来做策略路由的）相结合实现不同的流量走不同的路径。

6、VPN（虚拟私有网络）：定义哪些流量需要被VPN保护，哪些不需要被VPN保护。;一个ACL是一组判断语句的集合，它对下列数据报进行控制：

1、、入入站站接接口口的的数数据据包包

2、、通通过过路路由由器器进进行行中中继继的的数数据据包包

3、、从从出出站站接接口口跳跳出出路路由由器器的的数数据据包包(而而路路由由器器本本身身发发出出的的分分组组是是不不起起作作用用的的)

利用ACL来过滤，必须把ACL应用到需要过滤的那个路由器的接口上，否则ACL是不会起到过滤作用的。而且你还要定义过滤的方向，比如是想过滤从Internet到你企业网的数据包呢？还是想过滤从企业网传出到Internet的数据包呢?

方向分为下面2种：

1、Inbound（入站）ACL：先处理，再路由；

2、Outbound（出站）ACL：先路由，再处理。;访问列表(accesslists)的主要作用是过滤你不想要的数据包，设置ACL的一些规则如下：

1、按顺序的比较：先比较第一行，如果不匹配，再比较第二行，依次类推直到最后一行。

2、从第一行起，直到找到一个符合条件的行；符合以后，其余的行就不再继续比较下去，直接从ACL跳出。

3、默认在每个ACL中的最后一行为隐含的拒绝(deny)；如果之前没找到一条许可(permit)语句，意味着包将被丢弃。所以每个ACL必须至少要有一行permit语句，除非你想要所有数据包丢弃。;注意：访问列表是有方向的，我们可以在需要配置ACL的路由器的接口上指明。

我们要区分两个概念，它们会在后面的幻灯中出现：

1、向内的（inbound)：表示数据流流向路由器。

2、向外的（ou