CISCO的ACL培訓(xùn)教程課件

?2002,CiscoSystems,Inc.Allrightsreserved.?2002,CiscoSystems,Inc.Al1第7章訪問(wèn)控制列表ACLACL概述ACL的工作過(guò)程ACL分類ACL配置翻轉(zhuǎn)掩碼標(biāo)準(zhǔn)ACL的配置擴(kuò)展ACL的配置命名（Named）ACL的配置使用ACL控制虛擬終端（VTY）的訪問(wèn)第7章訪問(wèn)控制列表ACLACL概述2本章要求1、了解ACL的概念、用途、工作過(guò)程和分類

2、掌握翻轉(zhuǎn)掩碼的概念3、理解和掌握標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL的配置過(guò)程

4、理解和掌握使用ACL控制虛擬終端訪問(wèn)的配置過(guò)程本章要求1、了解ACL的概念、用途、工作過(guò)程和分類3訪問(wèn)控制列表（AccessControlList，ACL）應(yīng)用在路由器接口的指令列表指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕

ACL用途（1）限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；（2）提供對(duì)通信流量的控制手段；（3）提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段；（4）在路由器（交換機(jī)）接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述訪問(wèn)控制列表（AccessControlList，ACL4ACL的工作過(guò)程ACL的操作過(guò)程入站訪問(wèn)控制操作過(guò)程出站訪問(wèn)控制操作過(guò)程ACL的邏輯測(cè)試過(guò)程ACL的工作過(guò)程ACL的操作過(guò)程5入站訪問(wèn)控制操作過(guò)程相對(duì)網(wǎng)絡(luò)接口來(lái)說(shuō)，從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包，為入站數(shù)據(jù)流。對(duì)入站數(shù)據(jù)流的過(guò)濾控制稱為入站訪問(wèn)控制。

如果一個(gè)入站數(shù)據(jù)包被訪問(wèn)控制列表禁止（deny），那么該數(shù)據(jù)包被直接丟棄（discard）。只有那些被ACL允許（permit）的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。入站訪問(wèn)控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開(kāi)銷。

入站訪問(wèn)控制操作過(guò)程相對(duì)網(wǎng)絡(luò)接口來(lái)說(shuō)，從網(wǎng)絡(luò)上流入該接口的6出站訪問(wèn)控制操作過(guò)程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包，稱為出站數(shù)據(jù)流。出站訪問(wèn)控制是對(duì)出站數(shù)據(jù)流的過(guò)濾控制。那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前，交由出站訪問(wèn)控制進(jìn)行過(guò)濾控制操作。

出站訪問(wèn)控制操作過(guò)程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包，稱為出站數(shù)7入站接口數(shù)據(jù)包NY數(shù)據(jù)包丟棄桶選擇網(wǎng)絡(luò)接口

N接口是否使用ACL？路由表是否存在該路由？Y出站接口數(shù)據(jù)包S0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口NY數(shù)據(jù)包丟棄桶選擇N接口路由表Y出站接口數(shù)據(jù)包S08NYN數(shù)據(jù)包訪問(wèn)控制列表邏輯測(cè)試是否允許？YYS0E0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口數(shù)據(jù)包路由表是否存在該路由？選擇網(wǎng)絡(luò)接口

接口是否使用ACL？數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口NYN數(shù)據(jù)包訪問(wèn)控制列表是否允許YYS0E0出站訪問(wèn)控制操作9通知發(fā)送者如果邏輯測(cè)試沒(méi)有任何匹配，則丟棄數(shù)據(jù)包NYNYY丟棄數(shù)據(jù)包N數(shù)據(jù)包S0E0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口數(shù)據(jù)包路由表是否存在該路由？選擇網(wǎng)絡(luò)接口

接口是否使用ACL？數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口訪問(wèn)控制列表邏輯測(cè)試是否允許？通知發(fā)送者如果邏輯測(cè)試沒(méi)有任何匹配，則丟棄數(shù)據(jù)包NYNYY丟10ACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyDenyY匹配第一條規(guī)則?PermitACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyD11YDenyDenyYPermitNDenyPermit匹配下一條規(guī)則?YYACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermit匹配Y12YDenyDenyYPermitNDenyPermitDeny匹配最后一條規(guī)則

?YYNYYPermitACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配下一條規(guī)則?匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermitDen13YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄若無(wú)任何匹配則丟棄DenyNACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則

?YDenyYPermitNDenyPermitDenyYYN14范圍/標(biāo)識(shí)IP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標(biāo)準(zhǔn)IPACL（1到99）根據(jù)IP報(bào)文的源地址測(cè)試擴(kuò)展IPACL（100到199）可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)范圍/標(biāo)識(shí)IP 1-99800-899StandardSt15源地址段Segment（例如，TCP首部）數(shù)據(jù)Data報(bào)文Packet（IP首部）幀F(xiàn)rame首部（例如，HDLC）DenyPermit使用ACL規(guī)則語(yǔ)句1-99標(biāo)準(zhǔn)ACL源地址段Segment數(shù)據(jù)Data報(bào)文Packet幀F(xiàn)ram16目的地址源地址協(xié)議（例如TCP）端口號(hào)使用ACL規(guī)則語(yǔ)句100-199DenyPermit擴(kuò)展ACL幀F(xiàn)rame首部（例如，HDLC）報(bào)文Packet（IP首部）段Segment（例如，TCP首部）數(shù)據(jù)Data目的地址源地址協(xié)議（例如TCP）端口號(hào)使用DenyPerm17第一步：創(chuàng)建ACLRouter(config)#第二步：將ACL綁定到指定接口

{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test

conditions}第一步：創(chuàng)建ACLRouter(config)#第二步：將A180代表檢查對(duì)應(yīng)地址位的值1代表忽略對(duì)應(yīng)地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例翻轉(zhuǎn)掩碼0代表檢查對(duì)應(yīng)地址位的值donotcheckaddre19例如：9表示檢查所有的地址位可以使用關(guān)鍵字host將上語(yǔ)句簡(jiǎn)寫為：host9測(cè)試條件：檢查所有的地址位（matchall）9

一個(gè)IPhost關(guān)鍵字的示例如下：反轉(zhuǎn)掩碼：host關(guān)鍵字例如：9表示檢查所有20接受任何地址：55可以使用關(guān)鍵字any將上語(yǔ)句簡(jiǎn)寫為：any測(cè)試條件：忽略所有的地址位（matchany）

55任何IP地址反轉(zhuǎn)掩碼：any關(guān)鍵字接受任何地址：521CheckforIPsubnets/24to/24Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Addressandwildcardmask:

55通配符掩碼和IP子網(wǎng)的

對(duì)應(yīng)Network.host00010000Wildcar22標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問(wèn)控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-li23access-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設(shè)置測(cè)試為入站（in）控制還是出站（out）控制缺省為出站（out）控制“noipaccess-groupaccess-list-number”命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問(wèn)控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number243E0S0E1Non-標(biāo)準(zhǔn)ACL例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)25只允許本機(jī)所在網(wǎng)絡(luò)訪問(wèn)access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例1只允許本機(jī)所在網(wǎng)絡(luò)訪問(wèn)access-list1permi26拒絕特定主機(jī)的訪問(wèn)3E0S0E1Non-access-list1deny3標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問(wèn)1273E0S0E1Non-access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)拒絕特定主機(jī)的訪問(wèn)標(biāo)準(zhǔn)ACL例228access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問(wèn)access-list1deny329拒絕特定子網(wǎng)的訪問(wèn)3E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問(wèn)130access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問(wèn)access-list1deny31擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IPACL增加一條測(cè)試語(yǔ)句Eq-等于lt-小于gt-大于neq-不等于Establisted用與TCP入站訪問(wèn)控制列表，意義在于允許TCP報(bào)文在建立了一個(gè)確定的連接后，后繼報(bào)文可以通過(guò)Log向控制臺(tái)發(fā)送一條規(guī)則匹配的日志信息access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport][established][log]擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IP32Router(config-if)#ipaccess-groupaccess-list-number{in|out}Router(config)#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]擴(kuò)展ACL的配置為擴(kuò)展IPACL增加一條測(cè)試語(yǔ)句在特定接口上啟用擴(kuò)展ACLRouter(config-if)#ipaccess-g33禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)3E0S0E1Non-擴(kuò)展ACL例1access-list101denytcp

5555eq21access-list101denytcp5555eq20禁止子網(wǎng)中任何主機(jī)訪問(wèn)43E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)35access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)access-list101denytcp172.136禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)3E0S0E1Non-access-list101denytcp55anyeq23擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到373E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)38access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)access-list101denytcp172.139命名（Named）ACL的配置Router(config)#ipaccess-list{standard|extended}nameCiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一命名（Named）ACL的配置Router(config)40Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#配置permit和deny語(yǔ)句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語(yǔ)句命名（Named）ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一Router(config)#ipaccess-list41Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}

{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}在特定接口上啟用命名ACL命名（Named）ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一配置permit和deny語(yǔ)句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語(yǔ)句Router(config)#ipaccess-list42在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACL在靠近目的地址的網(wǎng)絡(luò)接口上設(shè)置標(biāo)準(zhǔn)ACLE0E0E1S0To0S1S0S1E0E0BAC設(shè)置ACL的位置建議：D在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACLE0E0E1S0To043wg_ro_a#showipinte0Ethernet0isup,lineprotocolisupInternetaddressis1/24Broadcastaddressis55AddressdeterminedbysetupcommandMTUis1500bytesHelperaddressisnotsetDirectedbroadcastforwardingisdisabled

OutgoingaccesslistisnotsetInboundaccesslistis1ProxyARPisenabledSecuritylevelisdefaultSplithorizonisenabledICMPredirectsarealwayssentICMPunreachablesarealwayssentICMPmaskrepliesareneversentIPfastswitchingisenabledIPfastswitchingonthesameinterfaceisdisabledIPFeatureFastswitchingturbovectorIPmulticastfastswitchingisenabledIPmulticastdistributedfastswitchingisdisabled<textommitted>查看特定接口啟用的ACL配置wg_ro_a#showipinte0查看特定接口啟用44查看ACL測(cè)試語(yǔ)句wg_ro_a#showaccess-listsStandardIPaccesslist1permitpermitpermitpermitExtendedIPaccesslist101permittcphostanyeqtelnetpermittcphostanyeqftppermittcphostanyeqftp-datawg_ro_a#show{protocol}access-list{access-listnumber}wg_ro_a#showaccess-lists{access-listnumber}查看ACL測(cè)試語(yǔ)句wg_ro_a#showaccess-l45使用ACL控制VTY的訪問(wèn)5個(gè)虛擬終端接口（vty0到vty4）對(duì)訪問(wèn)路由器vty的地址進(jìn)行控制對(duì)路由器發(fā)起的向外vty訪問(wèn)進(jìn)行控制01234虛擬終端接口（vty0到vty4）物理接口e0(Telnet)控制臺(tái)接口（直接連接）consolee0使用ACL控制VTY的訪問(wèn)5個(gè)虛擬終端接口（vty0到vt46如何控制VTY訪問(wèn)01234（1）建立一個(gè)針對(duì)IP地址過(guò)濾的標(biāo)準(zhǔn)ACL；（2）在IOS的子線路配置模式下，使用access-class命令對(duì)所有的vty綁定上述ACL。

對(duì)所有的vty端口設(shè)置同樣的約束Router#e0物理接口e0(Telnet)虛擬終端接口（vty0到vty4）如何控制VTY訪問(wèn)01234（1）建立一個(gè)針對(duì)IP地址過(guò)濾的47虛擬終端Line配置命令進(jìn)入line配置模式指定ACL控制入站/出站的vty訪問(wèn)連接access-classaccess-list-number{in|out}linevty{vty#|vty-range}Router(config)#Router(config-line)#虛擬終端Line配置命令進(jìn)入line配置模式指定ACL控制入48VTY訪問(wèn)控制示例只允許網(wǎng)絡(luò)的主機(jī)連接路由器的vty端口access-list12permit55!linevty04access-class12in控制入站訪問(wèn)VTY訪問(wèn)控制示例只允許網(wǎng)絡(luò)的主機(jī)49訪問(wèn)列表配置指南(再記一次)訪問(wèn)列表的編號(hào)指明了使用何種協(xié)議的訪問(wèn)列表每個(gè)端口、每個(gè)方向、每條協(xié)議只能對(duì)應(yīng)于一條訪問(wèn)列表訪問(wèn)列表的內(nèi)容決定了數(shù)據(jù)的控制順序具有嚴(yán)格限制條件的語(yǔ)句應(yīng)放在訪問(wèn)列表所有語(yǔ)句的最上面在訪問(wèn)列表的最后有一條隱含聲明：denyany－每一條正確的訪問(wèn)列表都至少應(yīng)該有一條允許語(yǔ)句先創(chuàng)建訪問(wèn)列表，然后應(yīng)用到端口上訪問(wèn)列表不能過(guò)濾由路由器自己產(chǎn)生的數(shù)據(jù)訪問(wèn)列表配置指南(再記一次)訪問(wèn)列表的編號(hào)指明了使用何種協(xié)議50訪問(wèn)列表配置準(zhǔn)則訪問(wèn)列表中限制語(yǔ)句的位置是至關(guān)重要的將限制條件嚴(yán)格的語(yǔ)句放在訪問(wèn)列表的最上面使用noaccess-listnumber

命令刪除完整的訪問(wèn)列表隱含聲明denyall在設(shè)置的訪問(wèn)列表中要有一句permitany訪問(wèn)列表配置準(zhǔn)則訪問(wèn)列表中限制語(yǔ)句的位置是至關(guān)重要的51?2002,CiscoSystems,Inc.Allrightsreserved.?2002,CiscoSystems,Inc.Al52第7章訪問(wèn)控制列表ACLACL概述ACL的工作過(guò)程ACL分類ACL配置翻轉(zhuǎn)掩碼標(biāo)準(zhǔn)ACL的配置擴(kuò)展ACL的配置命名（Named）ACL的配置使用ACL控制虛擬終端（VTY）的訪問(wèn)第7章訪問(wèn)控制列表ACLACL概述53本章要求1、了解ACL的概念、用途、工作過(guò)程和分類

2、掌握翻轉(zhuǎn)掩碼的概念3、理解和掌握標(biāo)準(zhǔn)ACL、擴(kuò)展ACL、命名ACL的配置過(guò)程

4、理解和掌握使用ACL控制虛擬終端訪問(wèn)的配置過(guò)程本章要求1、了解ACL的概念、用途、工作過(guò)程和分類54訪問(wèn)控制列表（AccessControlList，ACL）應(yīng)用在路由器接口的指令列表指定哪些數(shù)據(jù)報(bào)可以接收、哪一些需要拒絕

ACL用途（1）限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；（2）提供對(duì)通信流量的控制手段；（3）提供網(wǎng)絡(luò)訪問(wèn)的基本安全手段；（4）在路由器（交換機(jī)）接口處，決定哪種類型的通信流量被轉(zhuǎn)發(fā)、哪種被阻塞。ACL概述訪問(wèn)控制列表（AccessControlList，ACL55ACL的工作過(guò)程ACL的操作過(guò)程入站訪問(wèn)控制操作過(guò)程出站訪問(wèn)控制操作過(guò)程ACL的邏輯測(cè)試過(guò)程ACL的工作過(guò)程ACL的操作過(guò)程56入站訪問(wèn)控制操作過(guò)程相對(duì)網(wǎng)絡(luò)接口來(lái)說(shuō)，從網(wǎng)絡(luò)上流入該接口的數(shù)據(jù)包，為入站數(shù)據(jù)流。對(duì)入站數(shù)據(jù)流的過(guò)濾控制稱為入站訪問(wèn)控制。

如果一個(gè)入站數(shù)據(jù)包被訪問(wèn)控制列表禁止（deny），那么該數(shù)據(jù)包被直接丟棄（discard）。只有那些被ACL允許（permit）的入站數(shù)據(jù)包才進(jìn)行路由查找與轉(zhuǎn)發(fā)處理。入站訪問(wèn)控制節(jié)省了那些不必要的路由查找轉(zhuǎn)發(fā)的開(kāi)銷。

入站訪問(wèn)控制操作過(guò)程相對(duì)網(wǎng)絡(luò)接口來(lái)說(shuō)，從網(wǎng)絡(luò)上流入該接口的57出站訪問(wèn)控制操作過(guò)程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包，稱為出站數(shù)據(jù)流。出站訪問(wèn)控制是對(duì)出站數(shù)據(jù)流的過(guò)濾控制。那些被允許的入站數(shù)據(jù)流需要進(jìn)行路由轉(zhuǎn)發(fā)處理。在轉(zhuǎn)發(fā)之前，交由出站訪問(wèn)控制進(jìn)行過(guò)濾控制操作。

出站訪問(wèn)控制操作過(guò)程從網(wǎng)絡(luò)接口流出的網(wǎng)絡(luò)數(shù)據(jù)包，稱為出站數(shù)58入站接口數(shù)據(jù)包NY數(shù)據(jù)包丟棄桶選擇網(wǎng)絡(luò)接口

N接口是否使用ACL？路由表是否存在該路由？Y出站接口數(shù)據(jù)包S0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口NY數(shù)據(jù)包丟棄桶選擇N接口路由表Y出站接口數(shù)據(jù)包S059NYN數(shù)據(jù)包訪問(wèn)控制列表邏輯測(cè)試是否允許？YYS0E0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口數(shù)據(jù)包路由表是否存在該路由？選擇網(wǎng)絡(luò)接口

接口是否使用ACL？數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口NYN數(shù)據(jù)包訪問(wèn)控制列表是否允許YYS0E0出站訪問(wèn)控制操作60通知發(fā)送者如果邏輯測(cè)試沒(méi)有任何匹配，則丟棄數(shù)據(jù)包NYNYY丟棄數(shù)據(jù)包N數(shù)據(jù)包S0E0出站訪問(wèn)控制操作過(guò)程（續(xù)）入站接口數(shù)據(jù)包路由表是否存在該路由？選擇網(wǎng)絡(luò)接口

接口是否使用ACL？數(shù)據(jù)包丟棄桶數(shù)據(jù)包出站接口訪問(wèn)控制列表邏輯測(cè)試是否允許？通知發(fā)送者如果邏輯測(cè)試沒(méi)有任何匹配，則丟棄數(shù)據(jù)包NYNYY丟61ACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyDenyY匹配第一條規(guī)則?PermitACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文報(bào)文丟棄桶Y目的接口DenyD62YDenyDenyYPermitNDenyPermit匹配下一條規(guī)則?YYACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermit匹配Y63YDenyDenyYPermitNDenyPermitDeny匹配最后一條規(guī)則

?YYNYYPermitACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配下一條規(guī)則?匹配第一條規(guī)則?YDenyDenyYPermitNDenyPermitDen64YDenyYPermitNDenyPermitDenyYYNYYPermit強(qiáng)制丟棄若無(wú)任何匹配則丟棄DenyNACL的邏輯測(cè)試過(guò)程數(shù)據(jù)報(bào)文目的接口報(bào)文丟棄桶匹配第一條規(guī)則?匹配下一條規(guī)則?匹配最后一條規(guī)則

?YDenyYPermitNDenyPermitDenyYYN65范圍/標(biāo)識(shí)IP

1-99100-199,1300-1999,2000-2699Name(CiscoIOS11.2andlater)800-899900-9991000-1099Name(CiscoIOS11.2.Fandlater)StandardExtendedSAPfiltersNamedStandardExtendedNamedACL類型IPXACL分類標(biāo)準(zhǔn)IPACL（1到99）根據(jù)IP報(bào)文的源地址測(cè)試擴(kuò)展IPACL（100到199）可以測(cè)試IP報(bào)文的源、目的地址、協(xié)議、端口號(hào)范圍/標(biāo)識(shí)IP 1-99800-899StandardSt66源地址段Segment（例如，TCP首部）數(shù)據(jù)Data報(bào)文Packet（IP首部）幀F(xiàn)rame首部（例如，HDLC）DenyPermit使用ACL規(guī)則語(yǔ)句1-99標(biāo)準(zhǔn)ACL源地址段Segment數(shù)據(jù)Data報(bào)文Packet幀F(xiàn)ram67目的地址源地址協(xié)議（例如TCP）端口號(hào)使用ACL規(guī)則語(yǔ)句100-199DenyPermit擴(kuò)展ACL幀F(xiàn)rame首部（例如，HDLC）報(bào)文Packet（IP首部）段Segment（例如，TCP首部）數(shù)據(jù)Data目的地址源地址協(xié)議（例如TCP）端口號(hào)使用DenyPerm68第一步：創(chuàng)建ACLRouter(config)#第二步：將ACL綁定到指定接口

{protocol}access-groupaccess-list-number{in|out}Router(config-if)#ACL配置access-listaccess-list-number{permit|deny}{test

conditions}第一步：創(chuàng)建ACLRouter(config)#第二步：將A690代表檢查對(duì)應(yīng)地址位的值1代表忽略對(duì)應(yīng)地址位的值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbits示例翻轉(zhuǎn)掩碼0代表檢查對(duì)應(yīng)地址位的值donotcheckaddre70例如：9表示檢查所有的地址位可以使用關(guān)鍵字host將上語(yǔ)句簡(jiǎn)寫為：host9測(cè)試條件：檢查所有的地址位（matchall）9

一個(gè)IPhost關(guān)鍵字的示例如下：反轉(zhuǎn)掩碼：host關(guān)鍵字例如：9表示檢查所有71接受任何地址：55可以使用關(guān)鍵字any將上語(yǔ)句簡(jiǎn)寫為：any測(cè)試條件：忽略所有的地址位（matchany）

55任何IP地址反轉(zhuǎn)掩碼：any關(guān)鍵字接受任何地址：572CheckforIPsubnets/24to/24Network.host

00010000Wildcardmask: 00001111 |<----match---->|<-----don’tcare----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31Addressandwildcardmask:

55通配符掩碼和IP子網(wǎng)的

對(duì)應(yīng)Network.host00010000Wildcar73標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number{permit|deny}source[mask]Router(config)#為訪問(wèn)控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-li74access-listaccess-list-number{permit|deny}source[mask]Router(config)#在特定接口上啟用ACL設(shè)置測(cè)試為入站（in）控制還是出站（out）控制缺省為出站（out）控制“noipaccess-groupaccess-list-number”命令在特定接口禁用ACLRouter(config-if)#ipaccess-groupaccess-list-number{in|out}為訪問(wèn)控制列表增加一條測(cè)試語(yǔ)句標(biāo)準(zhǔn)IPACL的參數(shù)access-list-number取值范圍從1到99缺省反轉(zhuǎn)掩碼=“noaccess-listaccess-list-number”命令刪除指定號(hào)碼的ACL標(biāo)準(zhǔn)ACL的配置access-listaccess-list-number753E0S0E1Non-標(biāo)準(zhǔn)ACL例1access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)76只允許本機(jī)所在網(wǎng)絡(luò)訪問(wèn)access-list1permit

55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例1只允許本機(jī)所在網(wǎng)絡(luò)訪問(wèn)access-list1permi77拒絕特定主機(jī)的訪問(wèn)3E0S0E1Non-access-list1deny3標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問(wèn)1783E0S0E1Non-access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)拒絕特定主機(jī)的訪問(wèn)標(biāo)準(zhǔn)ACL例279access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定主機(jī)的訪問(wèn)access-list1deny380拒絕特定子網(wǎng)的訪問(wèn)3E0S0E1Non-access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問(wèn)181access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1out3E0S0E1Non-標(biāo)準(zhǔn)ACL例2拒絕特定子網(wǎng)的訪問(wèn)access-list1deny82擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IPACL增加一條測(cè)試語(yǔ)句Eq-等于lt-小于gt-大于neq-不等于Establisted用與TCP入站訪問(wèn)控制列表，意義在于允許TCP報(bào)文在建立了一個(gè)確定的連接后，后繼報(bào)文可以通過(guò)Log向控制臺(tái)發(fā)送一條規(guī)則匹配的日志信息access-listaccess-list-number{permit|deny}protocolsource

source-wildcard[operatorport]

destinationdestination-wildcard

[operatorport][established][log]擴(kuò)展ACL的配置Router(config)#為擴(kuò)展IP83Router(config-if)#ipaccess-groupaccess-list-number{in|out}Router(config)#access-listaccess-list-number

{permit|deny}protocolsourcesource-wildcard[operatorport]

destinationdestination-wildcard[operatorport][established][log]擴(kuò)展ACL的配置為擴(kuò)展IPACL增加一條測(cè)試語(yǔ)句在特定接口上啟用擴(kuò)展ACLRouter(config-if)#ipaccess-g84禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)3E0S0E1Non-擴(kuò)展ACL例1access-list101denytcp

5555eq21access-list101denytcp5555eq20禁止子網(wǎng)中任何主機(jī)訪問(wèn)53E0S0E1Non-access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)86access-list101denytcp

5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例1禁止子網(wǎng)中任何主機(jī)訪問(wèn)3上的ftp服務(wù)

允許其他任何服務(wù)access-list101denytcp172.187禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)3E0S0E1Non-access-list101denytcp55anyeq23擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到883E0S0E1Non-access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)89access-list101denytcp55anyeq23access-list101permitipanyany(implicitdenyall)interfaceethernet0ipaccess-group101out3E0S0E1Non-擴(kuò)展ACL例2禁止網(wǎng)段的主機(jī)遠(yuǎn)程登錄（telnet）到網(wǎng)段的任何機(jī)器

允許其他任何數(shù)據(jù)通過(guò)access-list101denytcp172.190命名（Named）ACL的配置Router(config)#ipaccess-list{standard|extended}nameCiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一命名（Named）ACL的配置Router(config)91Router(config)#ipaccess-list{standard|extended}name{permit|deny}{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config{std-|ext-}nacl)#配置permit和deny語(yǔ)句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語(yǔ)句命名（Named）ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一Router(config)#ipaccess-list92Router(config)#ipaccess-list{standard|extended}nameRouter(config{std-|ext-}nacl)#{permit|deny}

{ipaccesslisttestconditions}{permit|deny}{ipaccesslisttestconditions}no{permit|deny}{ipaccesslisttestconditions}Router(config-if)#ipaccess-groupname{in|out}在特定接口上啟用命名ACL命名（Named）ACL的配置CiscoIOSRelease11.2以后的新增特性字符串名稱必須唯一配置permit和deny語(yǔ)句的時(shí)候不需在前面指定ACL號(hào)碼“no”命令刪除指定的命名ACL測(cè)試語(yǔ)句Router(config)#ipaccess-list93在靠近源地址的網(wǎng)絡(luò)接口上設(shè)置擴(kuò)展ACL在靠近目的地址的網(wǎng)絡(luò)接口上設(shè)置標(biāo)準(zhǔn)ACLE0E0E1S0To0S1S0S1E0E0BAC設(shè)置ACL的位置建議：D在靠近源地址的網(wǎng)絡(luò)接口上設(shè)