1、使用訪(fǎng)問(wèn)列表管理網(wǎng)絡(luò) 本章主要講述使用標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表和擴(kuò)展訪(fǎng)問(wèn)控制列表控制網(wǎng)絡(luò)流量的方法。本章同時(shí)提供了標(biāo)準(zhǔn)訪(fǎng)問(wèn)控制列表和擴(kuò)展訪(fǎng)問(wèn)控制列表以及在路由接口應(yīng)用ACL的例子。要求掌握內(nèi)容要求掌握內(nèi)容：(1)標(biāo)準(zhǔn)ACL和擴(kuò)展ACL；(2)命名ACL ；(3)應(yīng)用ACL控制和管理通信流量。章節(jié)內(nèi)容1 1 訪(fǎng)問(wèn)列表簡(jiǎn)介訪(fǎng)問(wèn)列表簡(jiǎn)介2 2 標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表3 3 擴(kuò)展的擴(kuò)展的IPIP訪(fǎng)問(wèn)列表訪(fǎng)問(wèn)列表4 4 命名的訪(fǎng)問(wèn)列表命名的訪(fǎng)問(wèn)列表5 5 應(yīng)用和驗(yàn)證訪(fǎng)問(wèn)控制列表應(yīng)用和驗(yàn)證訪(fǎng)問(wèn)控制列表 是一系列運(yùn)用網(wǎng)絡(luò)地址或者上層協(xié)議上的允許或拒絕指令的集合。10.1 訪(fǎng)問(wèn)列表簡(jiǎn)介訪(fǎng)問(wèn)控制列表ACL 網(wǎng)絡(luò)管

2、理者需要了解怎樣控制非法的網(wǎng)絡(luò)訪(fǎng)問(wèn)，允許正常的網(wǎng)絡(luò)訪(fǎng)問(wèn)。ACL具有靈活的基本數(shù)據(jù)流過(guò)濾能力和特定的控制能力。例如，網(wǎng)絡(luò)管理者可能允許用戶(hù)訪(fǎng)問(wèn)Internet，而不允許外部的用戶(hù)登錄到局域網(wǎng)中。 路由器提供了基本的數(shù)據(jù)流過(guò)濾能力。如使用訪(fǎng)問(wèn)控制列表（ACL），可以有條件地阻止Internet數(shù)據(jù)流。ACL，是一系列的允許或拒絕指令的集合，這些指令將運(yùn)用到網(wǎng)絡(luò)地址或者上層協(xié)議上。ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL： 限制網(wǎng)絡(luò)數(shù)據(jù)流，增加網(wǎng)絡(luò)性能。 例如：根據(jù)不同的協(xié)議，ACL可以指定路由器優(yōu)先處理哪些數(shù)據(jù)報(bào)。這叫做隊(duì)列管理，路由器可以不處理不需要的數(shù)據(jù)報(bào)。隊(duì)列管理限制了網(wǎng)絡(luò)數(shù)據(jù)流，減少了網(wǎng)絡(luò)擁塞

3、。 提供數(shù)據(jù)流控制。 例如：ACL可以限定或者減少路由更新的內(nèi)容。這些限定，可以用于限制關(guān)于某個(gè)特定網(wǎng)絡(luò)的信息傳播到整個(gè)網(wǎng)絡(luò)。ACL需求 有多種原因需要?jiǎng)?chuàng)建ACL： 為網(wǎng)絡(luò)訪(fǎng)問(wèn)提供基本的安全層。 ACL可以允許某個(gè)主機(jī)訪(fǎng)問(wèn)網(wǎng)絡(luò)的某一部分，而阻止另一臺(tái)主機(jī)訪(fǎng)問(wèn)網(wǎng)絡(luò)的這個(gè)部分。 決定轉(zhuǎn)發(fā)或者阻止哪些類(lèi)型的數(shù)據(jù)流。 例如：可以允許路由email數(shù)據(jù)流，而阻止telnet數(shù)據(jù)流。ACL的定義 訪(fǎng)問(wèn)控制列表（ACL）是運(yùn)用到路由器接口的指令列表。這些指令告訴路由器接受哪些數(shù)據(jù)報(bào)而拒絕哪些數(shù)據(jù)報(bào)。 接受或者拒絕根據(jù)一定的規(guī)則進(jìn)行，如源地址，目標(biāo)地址，端口號(hào)等。ACL使得用戶(hù)能夠管理數(shù)據(jù)流，檢測(cè)特定的數(shù)據(jù)報(bào)

4、。 路由器將根據(jù)ACL中指定的條件，對(duì)經(jīng)過(guò)路由器端口的數(shù)據(jù)報(bào)進(jìn)行檢查。 ACL可以基于所有的Routed Protocols，如IP，IPX，對(duì)經(jīng)過(guò)路由器的數(shù)據(jù)報(bào)進(jìn)行過(guò)濾。ACL的定義 ACL在路由器的端口過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)流，決定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)。 ACL應(yīng)該根據(jù)路由器的端口所允許的每個(gè)協(xié)議來(lái)制定。如果需要控制流經(jīng)某個(gè)端口的所有數(shù)據(jù)流，就需要為該端口允許的每一個(gè)協(xié)議分別創(chuàng)建ACL。 例如，如果端口配置成允許IP,Appletalk和IPX協(xié)議的數(shù)據(jù)流，那么就需要?jiǎng)?chuàng)建至少三個(gè)ACL。 ACL可以用作控制和過(guò)濾流經(jīng)路由器端口的數(shù)據(jù)報(bào)的工具。ACL指令 ACL指令的放置順序是很重要的。當(dāng)路由器在決

5、定是否轉(zhuǎn)發(fā)或者阻止數(shù)據(jù)報(bào)的時(shí)候，Cisco的IOS軟件，按照ACL中指令的順序依次檢查數(shù)據(jù)報(bào)是否滿(mǎn)足某一個(gè)指令條件。當(dāng)檢測(cè)到某個(gè)指令條件滿(mǎn)足的時(shí)候，就不會(huì)再檢測(cè)后面的指令條件。 在每一個(gè)路由器的端口，可以為每一個(gè)支持的Routed Protocols創(chuàng)建ACL。對(duì)于某些協(xié)議，可以創(chuàng)建多個(gè)ACL：一個(gè)用于過(guò)濾進(jìn)入端口的數(shù)據(jù)流inbound，一個(gè)用于過(guò)濾流出端口的數(shù)據(jù)流outbound。Inbound or Outbound Inbound or Outbound 進(jìn)入路由器的Inbound，離開(kāi)路由器的outboundOutgoingPacketE0S0IncomingPacketAccess

6、List ProcessesPermit?Sourceand DestinationProtocolACL指令 一個(gè)ACL就是一組指令，規(guī)定數(shù)據(jù)報(bào)如何： 進(jìn)入路由器的某個(gè)端口 在路由器內(nèi)的轉(zhuǎn)送 離開(kāi)路由器的某個(gè)端口 ACL允許控制哪些客戶(hù)端可以訪(fǎng)問(wèn)的網(wǎng)絡(luò)。在ACL中的條件可以是： 篩選某些主機(jī)允許或者禁止訪(fǎng)問(wèn)的部分網(wǎng)絡(luò) 允許或者禁止用戶(hù)訪(fǎng)問(wèn)某一類(lèi)協(xié)議，如FTP，HTTP等。ACL的工作流程 無(wú)論是否使用ACL，開(kāi)始的通信過(guò)程是相同的。 當(dāng)一個(gè)數(shù)據(jù)報(bào)進(jìn)入一個(gè)端口，路由器檢查這個(gè)數(shù)據(jù)報(bào)是否可路由。 如果是可以路由的，路由器檢查這個(gè)端口是否有ACL控制進(jìn)入數(shù)據(jù)報(bào)。 如果有，根據(jù)ACL中的條件指令，檢

7、查這個(gè)數(shù)據(jù)報(bào)。 如果數(shù)據(jù)報(bào)是被允許的，就查詢(xún)路由表，決定數(shù)據(jù)報(bào)的目標(biāo)端口。 路由器檢查目標(biāo)端口是否存在ACL控制流出的數(shù)據(jù)報(bào) 不存在，這個(gè)數(shù)據(jù)報(bào)就直接發(fā)送到目標(biāo)端口。 如果存在，就再根據(jù)ACL進(jìn)行取舍。ACL的工作流程ACL的配置 創(chuàng)建一個(gè)ACL訪(fǎng)問(wèn)控制 Router(config)# access-list access_list_number permit|deny test_conditions 將訪(fǎng)問(wèn)控制綁定到接口上 Router(config-if)# protocol access-group access_list_number in|out 關(guān)閉訪(fǎng)問(wèn)控制列表 Router(co

8、nfig)# no access-list access_list_number為每個(gè)ACL分配一個(gè)唯一標(biāo)識(shí) 配置ACL的時(shí)候需要為每一個(gè)協(xié)議的ACL指定一個(gè)唯一的數(shù)字，用以標(biāo)識(shí)這個(gè)ACL。這個(gè)數(shù)字必須在有效范圍之內(nèi)。 為一個(gè)ACL指定了數(shù)字后，需要把它關(guān)聯(lián)到一個(gè)端口。假如需要修改，只需要利用命令：no access-list list-number，就可以刪除這個(gè)ACL的指令。 ACL綁定到接口 ACL可以指定到一個(gè)或者多個(gè)端口。根據(jù)配置，可以過(guò)濾進(jìn)入或流出的數(shù)據(jù)流。 對(duì)流出的數(shù)據(jù)流使用ACL更有效，因此也更常使用。 如果是針對(duì)進(jìn)入數(shù)據(jù)流的ACL，路由器將檢查每一個(gè)數(shù)據(jù)報(bào)，看是否滿(mǎn)足ACL的

9、條件，然后才將允許的數(shù)據(jù)報(bào)發(fā)送到送出端口。標(biāo)準(zhǔn)ACL和擴(kuò)展ACL 標(biāo)準(zhǔn)ACL 檢查源地址 可以允許或者拒絕整套協(xié)議棧 標(biāo)準(zhǔn)ACL（數(shù)字1到99），可以提供數(shù)據(jù)流過(guò)濾控制。它是基于源地址和通配掩碼。標(biāo)準(zhǔn)ACL可以允許或禁止整套IP協(xié)議。 擴(kuò)展ACL 檢查源地址和目的地址 可以允許或者拒絕指定協(xié)議 為了更加精確的數(shù)據(jù)流過(guò)濾，需要擴(kuò)展ACL。擴(kuò)展ACL檢查源地址和目標(biāo)地址，以及TCP或UDP端口號(hào)。還可以指定擴(kuò)展ACL針對(duì)特定的協(xié)議的進(jìn)行操作。 擴(kuò)展ACL使用的數(shù)字范圍是：100-199。10.2 標(biāo)準(zhǔn)的訪(fǎng)問(wèn)列表 如果想允許或者禁止來(lái)自于某各個(gè)網(wǎng)絡(luò)的所有數(shù)據(jù)流，或者禁止某一套協(xié)議的數(shù)據(jù)流，可以使用標(biāo)

10、準(zhǔn)ACL。 標(biāo)準(zhǔn)ACL檢查數(shù)據(jù)報(bào)的源地址，即根據(jù)地址中的網(wǎng)絡(luò)、子網(wǎng)和主機(jī)位，來(lái)允許或者拒絕來(lái)自于整套協(xié)議的數(shù)據(jù)報(bào)。 例如，來(lái)自于E0端口的數(shù)據(jù)報(bào)，將檢查它的源地址和協(xié)議，如果被允許，將輸出到相應(yīng)的端口。如果被禁止，數(shù)據(jù)報(bào)將被丟棄。標(biāo)準(zhǔn)ACL指令 使用標(biāo)準(zhǔn)版本的access-list全局配置命令來(lái)定義一個(gè)帶有數(shù)字的標(biāo)準(zhǔn)ACL。這個(gè)命令用在全局配置模式下 Router(config)# access-list access-list-number deny | permit source source-wildcard log 例如：access-list 1 permit

11、55 使用這個(gè)命令的no形式，可以刪除一個(gè)標(biāo)準(zhǔn)ACL。語(yǔ)法是： Router(config)# no access-list access-list-number 例如：no access-list 1標(biāo)準(zhǔn)ACL舉例 以下圖的結(jié)構(gòu)為例，介紹標(biāo)準(zhǔn)ACL的使用。 實(shí)例1：E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。 實(shí)例2：E0端口不允許來(lái)自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 實(shí)例3：E0端口不允許來(lái)自于特定子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。172.16.4

12、.13E0S0E1Non-實(shí)例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù) E0和E1端口只允許來(lái)自于網(wǎng)絡(luò)的數(shù)據(jù)報(bào)被轉(zhuǎn)發(fā)，其余的將被阻止。 第一個(gè)ACL命令用“permit”允許來(lái)自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼55表明要檢查匹配IP地址中的網(wǎng)絡(luò)位（前16位）。 最后將ACL關(guān)聯(lián)到端口E0和E1。access-list 1 permit 55(implicit deny all - not visible in the list)(access-list 1 deny 55)

13、interface ethernet 0ip access-group 1 outinterface ethernet 1ip access-group 1 out實(shí)例2：禁止來(lái)自特定地址的數(shù)據(jù) E0端口不允許來(lái)自于特定地址3的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 第一個(gè)ACL命令用“deny”禁止來(lái)自于此指定主機(jī)的數(shù)據(jù)流，通配掩碼表明要檢查匹配地址中的所有的位。 第二個(gè)ACL命令中，“ 55”IP地址和通配掩碼組合，表示允許來(lái)自于任何源的數(shù)據(jù)流。這個(gè)組合，也可以用關(guān)鍵字“any”替代。 最后將ACL關(guān)聯(lián)到端口E0。acces

14、s-list 1 deny 3 access-list 1 permit 55(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out實(shí)例3：禁止來(lái)自特定子網(wǎng)的數(shù)據(jù) E0端口不允許來(lái)自于特定的子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。 第一個(gè)ACL命令用“deny”禁止來(lái)自子網(wǎng)的數(shù)據(jù)流，通配掩碼55，前三個(gè)字節(jié)表示IP地址中的

15、前三個(gè)字節(jié)將被檢測(cè)。而最后一個(gè)字節(jié)全1，表明將不關(guān)心IP地址的主機(jī)部分。 第二個(gè)ACL命令表示在之前沒(méi)有匹配的時(shí)候允許任何的源IP地址。 最后將ACL關(guān)聯(lián)到端口E0。access-list 1 deny 55access-list 1 permit any(implicit deny all)(access-list 1 deny 55)interface ethernet 0ip access-group 1 out10.3 擴(kuò)展的IP訪(fǎng)問(wèn)列表 擴(kuò)展ACL提供了比標(biāo)準(zhǔn)ACL更大范圍的控制，因而運(yùn)用更廣。例如，可以使

16、用擴(kuò)展ACL來(lái)實(shí)現(xiàn)允許Web數(shù)據(jù)流，而禁止FTP或Telnet。 擴(kuò)展ACL可以檢查源地址和目標(biāo)地址，特定的協(xié)議，端口號(hào)，以及其它的參數(shù)。一個(gè)數(shù)據(jù)報(bào)，可以根據(jù)它的源或者目標(biāo)地址，而被允許或者禁止。例如，擴(kuò)展ACL可以允許來(lái)自于E0而到S0的e-mail數(shù)據(jù)，而禁止遠(yuǎn)程登錄或者文件傳輸。 假設(shè)端口E0與一個(gè)擴(kuò)展ACL相關(guān)聯(lián)。可以使用精確的邏輯指令，來(lái)創(chuàng)建ACL。在一個(gè)數(shù)據(jù)報(bào)進(jìn)入這個(gè)端口前，相應(yīng)的ACL將對(duì)其進(jìn)行檢查。 基于擴(kuò)展ACL檢查，數(shù)據(jù)報(bào)將被允許或禁止。對(duì)于進(jìn)入端口的數(shù)據(jù)，允許的數(shù)據(jù)報(bào)將被繼續(xù)處理。對(duì)于發(fā)出端口的數(shù)據(jù)，允許的數(shù)據(jù)報(bào)將被轉(zhuǎn)發(fā)到端口。拒絕的數(shù)據(jù)報(bào)將被丟棄，某些協(xié)議還會(huì)向發(fā)端發(fā)送

17、數(shù)據(jù)報(bào)，說(shuō)明目標(biāo)不可到達(dá)。 一個(gè)ACL中可以包含任意多條指令。每一條指令，應(yīng)該具有相同的標(biāo)識(shí)名或者數(shù)字。ACL中的指令越多，就越難理解和管理。所以，為ACL做好文檔可以防止混淆。擴(kuò)展ACL擴(kuò)展ACL配置 完全形式的access-list命令為：Router(config)# access-list access_list_number permit|deny protocol source source_mask destination destination_mask operator operand established 命令ip access-group將一個(gè)存在的擴(kuò)展ACL和一個(gè)端口

18、關(guān)聯(lián)。記住：一個(gè)端口的一個(gè)方向的某套協(xié)議，只允許存在一個(gè)ACL。Router(config-if)# protocol access-group access_list_number in|out 擴(kuò)展ACL舉例 以下圖的結(jié)構(gòu)為例，介紹擴(kuò)展ACL的使用。 實(shí)例1：在E0端口，禁止轉(zhuǎn)出來(lái)自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 實(shí)例2：在E0端口，禁止轉(zhuǎn)出來(lái)自子網(wǎng)的 Telnet 數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。3E0S0E1Non-實(shí)例1：禁止轉(zhuǎn)出

19、FTP數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來(lái)自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。 第一個(gè)ACL命令用“deny”禁止來(lái)自子網(wǎng)的FTP-DATA（port=20）數(shù)據(jù)流到子網(wǎng)。 第二個(gè)ACL命令用“deny”禁止來(lái)自子網(wǎng)的FTP（port=21）數(shù)據(jù)流到子網(wǎng)。 第三個(gè)ACL命令表示允許任何的數(shù)據(jù)流。 最后將此ACL101關(guān)聯(lián)到端口E0。access-list 101 deny tcp 55 55 eq 2

20、1access-list 101 deny tcp 55 55 eq 20access-list 101 permit ip any any(implicit deny all)(access-list 101 deny ip 55 55)interface ethernet 0ip access-group 101 out實(shí)例2：禁止轉(zhuǎn)出Telnet 數(shù)據(jù) 在E0端口，禁止轉(zhuǎn)出來(lái)自子網(wǎng)的 Telnet 數(shù)據(jù)流，其它的數(shù)

21、據(jù)流將被轉(zhuǎn)發(fā)。 第一個(gè)ACL命令用“deny”禁止來(lái)自子網(wǎng)的Telnet(port=23)數(shù)據(jù)流。 第二個(gè)ACL命令表示允許任何的數(shù)據(jù)流。 最后將此ACL101關(guān)聯(lián)到端口E0。access-list 101 deny tcp 55 any eq 23access-list 101 permit ip any any(implicit deny all)interface ethernet 0ip access-group 101 out通配掩碼 通配掩碼（wildcard mask）是分成4字節(jié)的32bit數(shù)。通配掩碼與IP地址位位配對(duì)，

22、相應(yīng)位為0/1，用于表示如何對(duì)待IP地址中的相應(yīng)位。 通配掩碼某位是0，表示檢查相應(yīng)bit位的值； 通配掩碼某位是1，表示不檢查(忽略)相應(yīng)位的值。 ACL使用通配掩碼來(lái)控制一個(gè)或者多個(gè)需要進(jìn)行允許或者禁止檢查的IP地址。 盡管都是32位，通配掩碼與子網(wǎng)掩碼不同。在子網(wǎng)掩碼中，0/1決定了相應(yīng)主機(jī)IP地址是網(wǎng)絡(luò)位、子網(wǎng)位還是主機(jī)位。在通配掩碼中，0/1決定ACL是否檢查或者忽略IP地址中的相應(yīng)位。通配掩碼的工作原理通配掩碼舉例 假設(shè)一個(gè)B類(lèi)地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來(lái)自于網(wǎng)絡(luò)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)訪(fǎng)問(wèn)。通配掩碼舉例 假設(shè)一個(gè)B類(lèi)地址，有8

23、位的子網(wǎng)地址。想使用通配掩碼，允許所有來(lái)自于網(wǎng)絡(luò)網(wǎng)絡(luò)的數(shù)據(jù)報(bào)訪(fǎng)問(wèn)。 首先，檢查前面兩個(gè)字節(jié)(171.30)，通配掩碼中的前兩個(gè)字節(jié)位全為0。由于沒(méi)有興趣檢查主機(jī)地址，通配掩碼的最后一個(gè)字節(jié)位全為1。 通配掩碼的第三個(gè)字節(jié)應(yīng)該是15 (00001111)。 與之相應(yīng)的通配掩碼是55，將匹配子網(wǎng)到的IP地址。通配掩碼舉例 IP地址的第三個(gè)字節(jié)為16 (00010000)。通配掩碼中的前四位為0，告訴路由器要匹配IP地址的前四位(0001)。由于最后的四位被忽略，則所有的在范圍16 (000100

24、00)到31 (00011111)的都將被允許，相應(yīng)的通配掩碼位是1。.host .00000Wildcard mask: 0 0 0 0 1 1 1 1 | 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18: : 0 0 0 1 1 1 1 1 =31any命令 使用二進(jìn)制通配掩碼很不方便，某些通配掩碼可以使用縮寫(xiě)形式替代。這些縮寫(xiě)形式，減少了在配置地址檢查條件時(shí)候的鍵入量。 假如想允許任何目標(biāo)地址都被允許，為了檢查任何地址，需要輸入。要使ACL忽略任意值，通配掩碼為：55。可以使

25、用縮寫(xiě)形式，來(lái)指定相同的測(cè)試條件。 Router(config)# access-list 1 permit 55 等價(jià)于 Router(config)# access-list 1 permit anyhost命令 當(dāng)想匹配IP地址中所有的位時(shí)，CiscoIOS允許使用另一個(gè)ACL通配掩碼的縮寫(xiě)。 假如希望一個(gè)特定的IP地址，在ACL的檢查中獲得允許。為了指明這個(gè)主機(jī)地址，將輸入整個(gè)地址（如9）。然后，為了指明ACL將檢查地址中的所有的位，相應(yīng)的通配掩碼的各位將設(shè)置成0（即）。可以使用縮寫(xiě)形式來(lái)完成這個(gè)任務(wù)。 Ro

26、uter(config)# access-list 1 permit 9 等價(jià)于 Router(config)# access-list 1 permit host 9any 和host命令驗(yàn)證ACL 使用show interface 可以顯示在某個(gè)接口上綁定了那些ACL 使用show running-config 顯示ACL詳細(xì)信息和綁定位置 使用show access-list 顯示所有的ACL列表內(nèi)容10.4 命名的訪(fǎng)問(wèn)列表 可以使用字符串代替數(shù)字，來(lái)標(biāo)識(shí)ACL，稱(chēng)為命名ACL。使用具名ACL，可以在不刪除整個(gè)ACL的情況下修改

27、它。 具名ACL用于以下一些情況： 想用字符串直觀標(biāo)識(shí)一個(gè)ACL。 在路由器上，對(duì)于給定的協(xié)議，需要配置超出了99個(gè)標(biāo)準(zhǔn)ACL或者100個(gè)擴(kuò)展ACL。 在使用具名ACL的時(shí)候，需要考慮到以下的因素： 有名ACL與Cisco IOS 11.2之前的版本不兼容。 不能為多個(gè)ACL使用相同的名字。 不同類(lèi)型的ACL不能使用相同的名字。例如，不能使用同一個(gè)名字來(lái)命名一個(gè)標(biāo)準(zhǔn)ACL和一個(gè)擴(kuò)展ACL。 可以使用下面的命令為一個(gè)ACL命名： 在ACL配置模式中，可以指定一個(gè)或者多個(gè)允許或者禁止條件。命令如下： 將Named ACL關(guān)聯(lián)到某個(gè)端口。Router(config)# ip access-list

28、standard | extended nameRouter(config std- | ext-nacl)# permit | deny ip access list test conditions no permit | deny ip access list test conditions Router(config-if)# ip access-group name in | out 實(shí)例 為一個(gè)名為Internetfilter的標(biāo)準(zhǔn)ACL設(shè)定條件。（所有其他的條件隱含禁止。） ip access-list standard Internetfilter deny

29、 55 permit 55 permit 55 permit 和deny指令沒(méi)有數(shù)字，no表示刪除某個(gè)測(cè)試條件。 Router(config std- | ext-nacl)# permit | deny ip ACL test conditions no permit | deny ip ACL text conditions標(biāo)識(shí)ACL 使用“deny”為一個(gè)有名ACL設(shè)定條件。deny source source-wildcard | any 使用這個(gè)命令的no形式取消設(shè)定的deny條件。no d

30、eny source source-wildcard | any標(biāo)識(shí)ACL 使用“permit”為有名標(biāo)準(zhǔn)ACL設(shè)定條件。permit source source-wildcard | anylog 使用這個(gè)命令的no形式取消設(shè)定的條件。：no permit source source-wildcard| any 在access-list配置模式使用下這個(gè)命令，需要在ip access-list 命令之后，定義數(shù)據(jù)報(bào)經(jīng)過(guò)ACL的條件。10.5 應(yīng)用和驗(yàn)證訪(fǎng)問(wèn)控制列表 ACL可以控制路由器支持的絕大部分協(xié)議。在全局ACL配置的時(shí)候，可以輸入一個(gè)代表協(xié)議的數(shù)字，作為它的第一個(gè)參數(shù)。根據(jù)這個(gè)數(shù)字，路

31、由器會(huì)識(shí)別使用哪一個(gè)ACL軟件。對(duì)于某個(gè)協(xié)議，可能有多個(gè)ACL 對(duì)于一個(gè)新的ACL，可以選擇不同的數(shù)字，只要其在協(xié)議數(shù)字范圍之內(nèi)。但是，一個(gè)端口的一個(gè)協(xié)議，只能夠指定一個(gè)ACL。 對(duì)于某些協(xié)議，一個(gè)端口可以指定兩個(gè)ACL：一個(gè)負(fù)責(zé)收到的數(shù)據(jù)，一個(gè)負(fù)責(zé)發(fā)出的數(shù)據(jù)。而某些協(xié)議，需要把這兩個(gè)ACL組合成一個(gè)負(fù)責(zé)進(jìn)出該端口的數(shù)據(jù) 假如ACL負(fù)責(zé)控制接收的數(shù)據(jù)，當(dāng)路由器接收到數(shù)據(jù)報(bào)，將檢查是否滿(mǎn)足ACL的條件。假如這個(gè)數(shù)據(jù)報(bào)被允許，路由器繼續(xù)處理這個(gè)數(shù)據(jù)報(bào)。如果被拒絕，該數(shù)據(jù)報(bào)將被丟棄。 如果ACL是負(fù)責(zé)控制發(fā)出的數(shù)據(jù)，當(dāng)接收到一個(gè)數(shù)據(jù)報(bào)，并發(fā)送到了發(fā)出端口，路由器將檢查ACL的條件是否滿(mǎn)足。假如數(shù)據(jù)報(bào)被允許，則傳送這個(gè)數(shù)據(jù)報(bào)，如果數(shù)據(jù)報(bào)被拒絕，將丟棄這個(gè)數(shù)據(jù)報(bào)。ACL的放置 ACL可以用于控制數(shù)據(jù)流，消除不需要的數(shù)據(jù)流。依賴(lài)于ACL放置的位置，可以減少不必要的數(shù)據(jù)流。如在遠(yuǎn)離目的端，禁止某些數(shù)據(jù)流，可以減少使用到達(dá)目的端的網(wǎng)絡(luò)資源。 ACL放置的規(guī)則是：盡量將擴(kuò)展ACL放置在靠近被拒絕的數(shù)據(jù)源。標(biāo)準(zhǔn)ACL不能指定目標(biāo)地址，所以需要把標(biāo)準(zhǔn)A