cisco访问控制列表ACL解析

作者：课课家教育来源： http://www.kokojia.com点击数：2316发布时间： 2017-04-17 09:00:58

标签：访问控制列表交换机配置网络工程师

　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

一：访问控制列表概述

　　·访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

　　·工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

　　·实际应用：阻止某个网段访问服务器。

　　阻止A网段访问B网段，但B网段可以访问A网段。

　　禁止某些端口进入网络，可达到安全性。

　　基本定义

　　访问控制列表（AccessControlLists,ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

　　访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。

　　此外，在路由器的许多其他配置任务中都需要使用访问控制列表，如网络地址转换（NetworkAddressTranslation，NAT）、按需拨号路由（DialonDemandRouting，DDR）、路由重分布（RoutingRedistribution）、策略路由（Policy-BasedRouting，PBR）等很多场合都需要访问控制列表。

　　访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

　　二：标准ACL

　　·标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。如禁止了A网段，则A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

　　用1----99之间数字作为表号

　　一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

　　·标准ACL的配置：

　　router（config）#Access-list表号deny(禁止)网段/IP地址反掩码

　　********禁止某各网段或某个IP

　　router（config）#access-list表号permit（允许）any

　　注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

　　router（config）#interface接口******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

　　router（config-if）#ipaccess-group表号out/in*****设置在此接口下为OUT或为IN