1、訪問控制列表 ACL一：訪問控制列表概述訪問控制列表（ACL是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以通過，哪些數據包需要拒絕。工作原理： 它讀取第三及第四層包頭中的信息， 如源地址、 目的地址、 源端口、目的端口等。根據預先設定好的規(guī)則對包進行過濾，從而達到訪問控制的目的。實際應用：阻止某個網段訪問服務器。阻止A網段訪問B網段，但B網段可以訪問A網段。禁止某些端口進入網絡，可達到安全性。：標準 ACL 標準訪問控制列表只檢查被路由器路由的數據包的源地址。 若使用標準訪問 控制列表禁用某網段，則該網段下所有主機以及所有協議都被禁止。 如禁止了 A網段，則A網段下所有

2、的主機都不能訪問服務器，而 B網段下的主機卻可以。用 199 之間數字作為表號般用于局域網，所以最好把標準 ACL應用在離目的地址最近的地方。router#show access-lists*查看訪問控制列表。標準ACL的配置:router （config ）#access-list表號 deny（ 禁止）網段 /IP 地址 反掩碼* 禁止某各網段或某個 IProuter （ config ）#access-list表號 permit （允許） any注:默認情況下所有的網絡被設置為禁止，所以應該放行其他的網段。router （config ）#interface接口* 進入想要應用此 ACL

3、的接口（因為訪問控制列表只能應用在接口模式下）router ( config-if )#ip access-group 表號 out/in*置在此接口下為OUT或為IN其中 router(config)#access-list 10 deny =router(config)#access-list 10 denyhost router(config)#access-list10 deny 55router(config)#access-list10 deny anyrouter#show acc

4、ess-lists*查看訪問控制列表。標準訪問控制列表的工作原理。（每當數據進入路由器的每口接口下，都會進行以下進程。）注：當配置訪問控制列表時，順序很重要。要確保按照從具體到普遍的次序來排 列條目。如：想要拒絕一個具體的主機地址并且允許其他主機，那么要確保有關這個具體 主機的條目最新出現。例:Sl/0:/24192. 168.2.2/24192. 168.2.4Sl/0:192.168.1. 1/24192. 168.2.3/24FO/0:192.168.3. 1/24F匚-FT主機3F0/0:192.168. 3. 1/24拓撲結構如圖1所示，要求主機3能夠和主機2、

5、主機4相互訪問，但不能和主機 1相互訪問。路由器1 :Router>ENRouter#Router#c onfCon figuri ng from termi nal, memory, or n etwork term in al?En ter con figurati on comma nds, one per line. End with CNTL/Z.Router(c on fig)# in terface f0/0Router(c on fig-if)# no shutdow n%LINK-5-CHANGED: In terface FastEthernetO/O, change

6、d state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#ip address Router(config-if)#exitRouter(config)#interface serial 1/0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial1/0, changed state to downRout

7、er(config-if)#clock rate 9600Router(config-if)#ip address Router(config-if)#exitRouter(config)#router ripRouter(config-router)#v 2Router(config-router)#network Router(config-router)#network Router(config-router)#no auto-summaryRouter(config-router)#exit

8、Router(config)#hostname R1R1(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleR1#wrR1#writeBuilding configuration.OKR1#路由器 2：Router>ENRouter#confConfiguring from terminal, memory, or network terminal?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#interfac

9、e f0/0Router(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#ip address Router(config-if)#exitRouter(config)#interface serial 1/0Router(

10、config-if)#no shutdown%LINK-5-CHANGED: Interface Serial1/0, changed state to downRouter(config-if)#ip address Router(config-if)#exitRouter(config)#hostname R2R2(config)#router ripR2(config-router)#v 2R2(config-router)#no auto-summaryR2(config-router)#network R2(co

11、nfig-router)#network R2(config-router)#exitR2(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleR2#R2#writeBuilding configuration.OKR2#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inte

12、r areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGatewa

13、y of last resort is not setC /24 is directly connected, Serial1/0R /24 120/1 via , 00:00:05, Serial1/0C /24 is directly connected, FastEthernet0/0R2#confConfiguring from terminal, memory, or network terminal?Enter configuration commands, one per line. End

14、with CNTL/Z.R2(config)#access-list 1deny Specify packets to reject /禁止permit Specify packets to forward / 允許remark Access list entry comment /注意R2(config)#access-list 1 deny ? A.B.C.D Address to match /IP any Any source host / host A single host address /網段任意主機主機（針對某一臺主機）R2(config)#access-list 1 den

15、y A.B.C.D Wildcard bits /反置碼（與子網掩碼互為補碼，即與網絡號對應的為0，與主機號對應的為 1；通常只有 “ Address to match ”后面要加 “ Wildcard bits ”，而“ any” 和“ host ”后面不用加“ Wildcard bits ”)<cr>R2(config)#access-list 1 deny host / 禁止主機 通信R2(config)#access-list 1 permit any / 允許所有主機通信R2(config)#inter

16、face serial 1/0R2(config-if)#ip access-group 1 ?in inbound packets /信息進入方向out outbound packets /信息出去方向R2(config-if)#ip access-group 1 in /將訪問控制列表 1 應用在入口方向R2(config-if)#三：擴展 ACL擴展訪問控制列表對數據包源地址、 目的地址、 源端口、目的端口都進行檢查。 若使用擴展訪問控制列表禁止某網段訪問別的網段， 則 A 網段下所有主機不能訪 問 B 網段，而 B 網段下的主機可以訪問 A 網段。用 100199 之間數字作為表號一般

17、用于外網，所以最好把擴展 ACL應用在離源地址最近的地方。配置擴展訪問控制列表deny（ 禁止 ）協議 源 IP 地址/反掩碼 eq 端口段（源網段）下的某協議（或某端口）訪問B網段（目的網段）*禁止 A 網router （ config ）#access-list表號 permitip any any注：擴展ACL默認情況下所有的網絡也被設置為禁止,所以應該放行其他的網段router （ config ） #interface 接口的接口* 進入想要應用此 ACLrouter（config）#access-list 表號 網段 反掩碼 目的 IP 地址/ 網段router （ config-

18、if ） #ip access-group 表號 out/in * 激活 該接口下咋訪問控制列表,并根據實際情況設置此接口為OUT/in。常用端口及所屬協議端號關鍵字描述tcp/udp0-4未分配20FTP-Date文件數據傳輸協議TCP21FTP文件傳輸協議TCP23Tdnet終端連接TCP25SMPT茴單右肆服務器TCP42Nameserver主機名字服務器UDP53Domain域名服務器CdnsJTCP/UDP和UAI7W服務TCP8098遠程控制TCP擴展訪問控制列表的工作原理:（每當數據進入路由器的每口接口下，都會進行以下進程。例:WEB服務器。路由器 1：R1(config)#ac

19、cess-list 101 deny tcp host host dscp Match packets with given dscp value /指定 dscp 值eq established gt lt neq precedence rangeMatch only packets on a given port number established /已確定的Match only packets with a greater port numberMatch only packets with a lower port numberMatch only packets not on a given port numberMatch