訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。
ACL的作用:
ACL可以限制網絡流量、提高網絡性能。
ACL提供對通信流量的控制手段。
ACL是提供網絡安全訪問的基本手段。
ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。
3P 原則:
在路由器上應用 ACL 的一般規則。您可以爲每種協議 (per protocol)、每個方向 (per direction)、每個接口 (per interface) 配置一個 ACL:
每種協議一個 ACL:要控制接口上的流量,必須爲接口上啓用的每種協議定義相應的 ACL。
每個方向一個 ACL :一個 ACL 只能控制接口上一個方向的流量。要控制入站流量和出站流量,必 須分別定義兩個 ACL。
每個接口一個 ACL :一個 ACL 只能控制一個接口(例如快速以太網0/0)上的流量。
ACL分類
目前有三種主要的ACL:標準ACL、擴展ACL及命名ACL。其他的還有標準MAC ACL、時間控制ACL、以太協議 ACL 、IPv6 ACL等。
標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作爲表號,擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作爲表號。
標準ACL可以阻止來自某一網絡的所有通信流量,或者允許來自某一特定網絡的所有通信流量,或者拒絕某一協議簇(比如IP)的所有通信流量。
擴展ACL比標準ACL提供了更廣泛的控制範圍。例如,網絡管理員如果希望做到“允許外來的Web通信流量通過,拒絕外來的FTP和Telnet等通信流量”,那麼,他可以使用擴展ACL來達到目的,標準ACL不能控制這麼精確。
在標準與擴展訪問控制列表中均要使用表號,而在命名訪問控制列表中使用一個字母或數字組合的字符串來代替前面所使用的數字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目,這樣可以讓我們在使用過程中方便地進行修改。 在使用命名訪問控制列表時,要求路由器的IOS在11.2以上的版本,並且不能以同一名字命名多個ACL,不同類型的ACL也不能使用相同的名字。
隨着網絡的發展和用戶要求的變化,從IOS 12.0開始,思科(CISCO)路由器新增加了一種基於時間的訪問列表。通過它,可以根據一天中的不同時間,或者根據一星期中的不同日期,或二者相結合來控制網絡數據包的轉發。這種基於時間的訪問列表,就是在原來的標準訪問列表和擴展訪問列表中,加入有效的時間範圍來更合理有效地控制網絡。首先定義一個時間範圍,然後在原來的各種訪問列表的基礎上應用它。
基於時間訪問列表的設計中,用time-range 命令來指定時間範圍的名稱,然後用absolute命令,或者一個或多個periodic命令來具體定義時間範圍。
ACL的應用位置
在創建訪問控制列表之後,必須將其應用到某個接口才可開始生效。ACL 控制的對象是進出接口的流量。
路由器接口有出和入兩個方向:出;經過路由器準備出去的數據;入;準備進入路由器的數據
標準ACL要儘量靠近目的端。
擴展ACL要儘量靠近源端。
路由器接口檢查ACL條目的規則:
自上而下;如果匹配第一條則不再往下檢查,如果最後沒有一條規則匹配,則根據默認的規則丟棄該數據包。添加acl的接口數據包,要麼允許,要麼拒絕
命令格式:
access-list:訪問列表命令。
access-list-number:訪問列表號碼,值爲1~99.
permit:允許。
deny:拒絕。
舉例說明:
config t
access-list 1 permit 192.168.1.0 0.0.0.255 創建標準列表1、允許192.168.1.0網段的所有流量
access-list 1 deny 0.0.0.0 255.255.255.255或any 標準列表1中拒絕所有,這就話可以不寫,拒 絕所有是隱含語句。
應用到接口:
int f0/0 進入f0/0
ip access-group 1 in或out 將標準列表1 應用到接口的in方向或者out方向
show ip access-list 1 查看列表1的信息