訪問控制列表

建立訪問控制列表，可對(duì)數(shù)據(jù)流量進(jìn)行簡(jiǎn)單的控制，以及通過這種控制達(dá)到一不定程度的安全性，允許或拒絕數(shù)據(jù)包通過路由器，從而達(dá)到對(duì)數(shù)據(jù)包進(jìn)行過濾的目的。

另外，也可以在VTY線路接口上使用訪問控制列表，來保證telnet的連接的安全性。
因?yàn)榻涌诘臄?shù)據(jù)流是有進(jìn)口和出口兩個(gè)方向的，所以在接口上使用訪問控制列表也有進(jìn)和出兩個(gè)方向。

進(jìn)方向的工作流程

進(jìn)入接口的數(shù)據(jù)包——進(jìn)方向的訪問控制列表——判斷

是否匹配——不匹配，丟棄，匹配，進(jìn)入路由表——判斷是否有相應(yīng)的路由條目——無，丟棄，有從相應(yīng)接口轉(zhuǎn)發(fā)出去

出口方向的工作流程

進(jìn)入接口數(shù)據(jù)包——進(jìn)入路由表，判斷是否是相應(yīng)的路由條目——無，丟棄，有，數(shù)據(jù)包往相應(yīng)接口——判斷出口是否有訪問控制列表——無，數(shù)據(jù)被轉(zhuǎn)發(fā)，有，判斷條件是否匹配——不匹配，丟棄，匹配，轉(zhuǎn)發(fā)。

比較看，盡可能使用進(jìn)方向的訪問控制列表，但是使用哪個(gè)方向的應(yīng)根據(jù)實(shí)際情況來定。

類型

標(biāo)準(zhǔn)訪問控制列表
所依據(jù)的條件的判斷條件是數(shù)據(jù)包的源IP地址，只能過濾某個(gè)網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)包，功能有限，但方便使用。

命令格式
先在全局模式下創(chuàng)建訪問控制列表
Router（config）＃access－list  access－list－number  ｛permit or deny｝ soure ｛soure－wildcard｝ log

注：access－list－number 是訪問控制列表號(hào)，標(biāo)準(zhǔn)的訪問控制列表號(hào)為0～99;permit是語句匹配時(shí)允許通過，deny是語句不匹配時(shí)，拒絕通過。soure是源IP地址，soure－wildcard是通配符，log是可選項(xiàng)，生成有關(guān)分組匹配情況的日志消息，發(fā)到控制臺(tái)

補(bǔ)：當(dāng)表示某一特定主機(jī)時(shí)，soure ｛soure－wildcard｝這項(xiàng)例如：192.168.1.1 0.0.0.255 可表示為host 192.168.1.1

創(chuàng)建了訪問控制列表后，在接口上應(yīng)用
Router（config－if）＃ip access－group access－list－number ｛in or out｝

擴(kuò)展訪問控制列表
擴(kuò)展訪問控制列表所依據(jù)的判斷條件是目標(biāo)、源ip地址、協(xié)議及數(shù)據(jù)所要訪問的端口。由此可得出，在判斷條件上，擴(kuò)展訪問控制列表具有比標(biāo)準(zhǔn)的訪問控制列表更加靈活的優(yōu)勢(shì)，能夠完成很多標(biāo)準(zhǔn)訪問不能完成的工作。

命令格式

同樣在全局模式下創(chuàng)建列表
Router（config）＃access－list access－list－number ｛dynamic dynamic－name｝｛timeout mintes｝｛permit or deny｝protocol soure soure－wildcard destination destination－wildcard ｛precdence precedence｝ ｛tos tos} {time-range time-range-name}

命名訪問控制列表

cisco ios 軟件11.2版本中引入了IP命名ACL，其允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名字代替數(shù)字來表示ACL編號(hào)。

創(chuàng)建命名ACL語法格式：

router（config）＃ip access－list ｛extend or standard} name router（config-ext-nacl)#{permit  or deny } protocols soure soure－wildcard {operator｝destination destination－wildcard ｛operator｝｛established｝

注：established 是可選項(xiàng)，只針對(duì)于tcp 協(xié)議

還有vty的限制，其ACL的建立與在端口上建立ACL一樣，只是應(yīng)用在vty ACL 到虛擬連接時(shí)，用命令access－class 代替命令access－group

放置ACL
一般原則：盡可能把擴(kuò)展acl 放置在距離要被拒絕的通信流量近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址，所以它們應(yīng)該盡可能放置在距離目的地最近的地主。

【編輯推薦】

1. 思科認(rèn)證專區(qū)
2. 2月23日CCNA悉尼與香港戰(zhàn)報(bào)：3.22+經(jīng)典189
3. 2月6日英國倫敦思科CCNA 640-802戰(zhàn)報(bào)