ACL控制访问列表

 

---

一、ACL访问控制列表概述

访问控制力列表（Access Control Table List）是最常用的网络流量限制技术，通过该技术可以为路由器或者交换机的接口配置一些控制命令，用来控制接口的进出数据包。配置ACL主要有两步，首先要指定访问条件，需要创建列表编号（1-99，100-199）或者名称；然后在指定的列表编号或者名称内添加流量筛选条件（ip地址、路由、协议），并指定是允许（permit）还是拒绝(deny)。

访问控制列表根据筛选条件不同，一般可以分两种。一种是标准访问控制列表，一种是扩展访问列表。其中标准访问控制列表只可以限定源地址的流量，通常使用1-99的列表编号；扩展访问控制列表可以针对源地址、目标地址、传输层协议、源端口、目标端口等进行流量控制，通常使用100-199的列表编号。

---

二、ACL访问控制列表的语句结构

acl列表基本结构：

access-list + 编号 + permit/deny + ip/tcp + 源地址 +（目标地址）+ eq + ftp/www

---

三、标准ACL语法

1.access-list接源ip地址，格式：access-list+编号+permit+host+源地址

举例(1)：access-list 1 permit host 192.168.2.1          //允许主机地址192.168.2.1的流量通过

2.access-list接源网段，格式：access-list+编号+permit+源网段+源网段的反掩码

举例(2)：access-list 1 permit 192.168.1.0 0.0.0.255      //允许192.168.1.0 0/24网段地址的流量通过

3.拒绝某个源地址/网段流量通过，然后再允许所有流量通过

（1）access-list 1 deny host 192.168.1.2      //拒绝源地址192.168.1.2的流量通过

access-list 1 deny permit any                //允许除192.168.1.2其他所有的流量通过（注：any表示所有主机）

 （2）access-list 2 deny 192.168.3.0 0.0.0.255   //拒绝192.168.3.0 0/24网段地址的流量通过

access-list 2 deny permit any                //允许除192.168.3.0 0/24网段其他所有的流量通过（注：any表示所有主机）

---

四、删除ACL访问控制列表

no access-list 1    //删除表号为1的规则

---

五、控制访问列表ACL在路由器或交换机接口上的应用

1.int f0/1/vlan 20                    //进入接口f0/1配置或vlan 20配置

2.ip access-list 1 in/out         //把表号1的规则应用到入口（in）或出口（out）方向

3.ip access-group 101 in/out     //把表号101的规则应用到入口（in）或出口（out）方向

---

六、扩展ACL的配置语法

1.允许一个网段访问另一个网段，拒绝其他所有流量通过

（1）access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255         //创建一个表号为101的ACL，规则为允许192.168.1.0 0/24的网段访问192.168.1.2.0 0/24网段的流量通过

（2）access-list 101 deny ip any                                   //除了（1）的流量，拒绝其他所有流量通过

2.拒绝一个网段访问目标地址21端口的流量通过，允许其他所有流量通过

（1）access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21          //拒绝192.168.1.0 0/24网段访问主机192.168.2.2，端口号为21的流量通过

（2）access-list 102 permit ip any any            //允许除了（1）的所有流量通过

---

七、定时访问控制列表配置

time-range telnettime                         //定义时间范围

periodic weekday 08:00 to 18:00      //定制周期执行时间为工作日的08:00 —— 18:00

periodic weekend 08:00 to 12:00      //定制周期性执行时间为周末的08:00——18:00

exit

access-list 104 deny ip 192.168.3.0 0.0.0.255 any       //禁止表号104的192.168.3.0 0/24的流量

access-list 104 permit any any time-range telnettime    //应用访问控制时间，定义流量筛选条件

int f0/6

ip access-group 104 out                             //在接口F0/6的出方向应用acl104的规则