常見的ACL通路控制清單

常見的ACL分标準通路控制清單、擴充通路控制清單和命名通路控制清單，不同的場合應用不同的通路控制清單。

1、 标準通路控制清單

一個标準IP通路控制清單比對IP包中的源位址或源位址中的一部分，可對比對的包采取拒絕或允許兩個操作。編号範圍是從1到99的通路控制清單是标準IP通路控制清單。

2、 擴充通路控制清單

擴充IP通路控制清單比标準IP通路控制清單具有更多的比對項，包括協定類型、源位址、目的位址、源端口、目的端口、建立連接配接的和IP優先級等。編号範圍是從100到199的通路控制清單是擴充IP通路控制清單。

3、 命名通路控制清單

所謂命名的IP通路控制清單是以清單名代替清單編号來定義IP通路控制清單，同樣包括标準和擴充兩種清單，定義過濾的語句與編号方式中相似。

ACL的應用很廣泛，可以實作如下功能：

1、 允許或者拒絕資訊流入（或者流出）的資料流通過特定的接口；

2、 為DDR應用定義感興趣的資料流；

3、 過濾路由更新的内容；

4、 控制對虛拟終端的通路；

5、 提供流量控制；

實驗拓撲圖

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026749zA1O.jpg"></a>

<b>實驗一：标準通路控制清單</b>

<b>搭建實驗環境</b>

本實驗目的是：拒絕PC2所在網段通路路由器R2，同時允許主機PC3通路路由器R2，整個網絡配置EIGRP保證IP的連通性。

這裡以R2路由器為例：

R2(config)# router eigrp 1

R2(config-router)#no auto-summary

R2(config-router)#network 2.2.2.0 0.0.0.255

R2(config-router)#network 192.168.12.0

*Mar 1 00:20:59.071: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.12.1 (Serial1/0) is up: new adjacency

R2(config-router)#network 192.168.23.0

R2(config-router)#exit

在路由器R2上檢視路由資訊

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026754BrDc.jpg"></a>

R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定義ACL清單1

R2(config)#access-list 1 permit any

R2(config)#interface serial 1/0

R2(config-if)#ip access-group 1 in //在Serial1/0接口上應用ACL1清單

R2(config)#access-list 2 permit 172.16.3.1 //定義ACL清單2

R2(config)#line vty 0 4

R2(config-line)#access-class 2 ?

in Filter incoming connections

out Filter outgoing connections

R2(config-line)#access-class 2 in //在line vty 0 4 下應用ACL2清單

R2(config-line)#password cisco

R2(config-line)#login

R2(config-line)#exit

【注】：

1、 通路控制清單表項按自上而下的順序進行，并且從第一個表項開始，是以必須考慮在通路控制清單中定義清單的順序；

2、 路由器不對自身産生的IP包進行過濾；

3、 通路控制清單最後一條是拒絕所有；

4、 每一個路由器接口的每一個方向，每一種協定隻能建立一個ACL；

5、 “Access-class”隻對标準通路控制清單有效；

<b>實驗調試</b>

在R2路由器上檢視已經定義的IP通路控制清單

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026763Qac9.gif"></a>

以上輸出表明路由器R2上定義的标準通路控制清單為1和2，括号中的數字表示比對條件的資料包的個數，可以用“clear access-list counters”将通路控制清單計數器清零。

在R2路由器上産看Serial1/0接口資訊

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026764kV8S.gif"></a>

以上輸出表明哎接口Serial1/0的入方向上應用了通路控制清單1。

接下來就來測試PC1、PC2、PC3與路由器R2的連通性。

在PC1網絡的主機上ping 2.2.2.2 是可以通的，在PC2網絡所在的主機上ping 2.2.2.2 是不通的， 在主機PC3上Telnet2.2.2.2是可以成功的。

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026765ffEm.gif"></a>

<b>實驗二 </b><b>擴充通路控制清單</b>

實驗拓撲圖如實驗一

本實驗目的是：允許PC2所在的網段内的主機通路路由器R2上2.2.2.2機器的WWW和Telnet服務，并拒絕PC3所在的網段内主機ping 路由器R2。删除實驗一中的ACL。保留EIGRP的配置。

實驗步驟，

配置路由器R2

R2(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R2(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet

R2(config-if)#ip access-group 100 in

配置路由器R3

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026767BJr0.jpg"></a>

參數log會生成相應的日志資訊，用來記錄經過ACL入口的資料包的情況，

盡量考慮将擴充通路控制清單放在靠近過濾源的位置上，這樣建立的過濾器就不會反過來影響其他接口上的資料流。另外，盡量将标準通路控制清單放在靠近目的端的位置上，由于标準通路控制清單隻是用源位址，如果将其靠近源位址會阻止資料包流向其他的端口。

實驗調試：

在PC3所在的網段ping路由器R2。在R3上顯示的資訊為：

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026771GARw.jpg"></a>

以上輸出說明通路控制清單101在有比對資料包時，系統做了日志。

在R3上檢視通路清單。

<a href="http://linuxtro.blog.51cto.com/attachment/201009/9/1239505_1284026773v4xA.jpg"></a>

本文轉自 linuxtro 51CTO部落格，原文連結：http://blog.51cto.com/linuxtro/389640，如需轉載請自行聯系原作者