ACL訪問控制列表

1. ACL概述

（1）、ACL全稱訪問控制列表（Access Control List）。

堅(jiān)守“ 做人真誠(chéng) · 做事靠譜 · 口碑至上 · 高效敬業(yè) ”的價(jià)值觀，專業(yè)網(wǎng)站建設(shè)服務(wù)10余年為成都成都酒樓設(shè)計(jì)小微創(chuàng)業(yè)公司專業(yè)提供企業(yè)網(wǎng)站制作營(yíng)銷網(wǎng)站建設(shè)商城網(wǎng)站建設(shè)手機(jī)網(wǎng)站建設(shè)小程序網(wǎng)站建設(shè)網(wǎng)站改版，從內(nèi)容策劃、視覺設(shè)計(jì)、底層架構(gòu)、網(wǎng)頁布局、功能開發(fā)迭代于一體的高端網(wǎng)站建設(shè)服務(wù)。

（2）、基本原理：ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息（如源地址、目的地址、協(xié)議口、端口號(hào)等），根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到控制的目的。

（3）ACL目的：限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能；提供對(duì)通信流量的控制手段；提供網(wǎng)絡(luò)訪問的基本安全手段。

（4）、功能：網(wǎng)絡(luò)中的結(jié)點(diǎn)分為資源結(jié)點(diǎn)和用戶結(jié)點(diǎn)兩大類，其中資源結(jié)點(diǎn)提供服務(wù)或數(shù)據(jù)，而用戶結(jié)點(diǎn)訪問資源結(jié)點(diǎn)所提供的服務(wù)與數(shù)據(jù)。ACL的主要功能就是一方面保護(hù)資源結(jié)點(diǎn)，阻止非法用戶對(duì)資源結(jié)點(diǎn)的訪問；另一方面限制特定的用戶結(jié)點(diǎn)對(duì)資源結(jié)點(diǎn)的訪問權(quán)限

（5）、ACL的訪問順序
a、按照各語句在訪問列表的順序，順序查找，一旦找到了某一匹配條件，就結(jié)束匹配，不再檢查后面的語句。

b、如果所有語句都沒有匹配，在默認(rèn)情況下，雖然看不到最后一行，但最后總是拒絕全部流量的。

常用的端口號(hào)及其功能

端口	協(xié)議	說明
21	FTP	FTP服務(wù)器所開放的控制端口
23	TELNET	用于遠(yuǎn)程登錄，可以遠(yuǎn)程控制管理目標(biāo)計(jì)算器
25	SMTP	SMTP服務(wù)器開放的端口，用于發(fā)送郵件
80	HTTP	超文本傳輸協(xié)議
110	POP3	用于郵件的接收
69	TFTP	簡(jiǎn)單文本傳輸協(xié)議
111	RPC	遠(yuǎn)程過程調(diào)用
123	NTP	網(wǎng)絡(luò)時(shí)間協(xié)議

端口	協(xié)議
443	HTTPS
143	IMAP
20	ssh
3389	遠(yuǎn)程桌面
67	DHCP
68	DHCP

訪問控制列表（ACL）

（1）讀取第三層、第四層包頭信息
（2）根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾
（3）訪問控制列表利用（源地址、目的地址、源端口、目的端口）這4個(gè)元素定義的規(guī)則。

訪問控制列表在接口應(yīng)用的方向

（1）出：已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包
（2）入：已經(jīng)達(dá)到路由器接口的數(shù)據(jù)包，將被路由器處理。

列表應(yīng)用到接口的方向與數(shù)據(jù)方向有關(guān)。

訪問控制列表的處理過程

標(biāo)準(zhǔn)訪問控制列表

（1）基于源IP地址過濾數(shù)據(jù)包
（2）標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號(hào)是1~99

創(chuàng)建ACL

Router(config)#access-list access-list-number {permint(允許數(shù)據(jù)包通過) | deny(拒絕數(shù)據(jù)包通過)} source [source-wildcard]

刪除ACL

Router(config)# no access-list access-list-number

應(yīng)用實(shí)例

允許192.168.1.0/24和主機(jī)192.168.2.2的流量通過

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0

隱含的拒絕語句

Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255

關(guān)鍵字

host ：固定地址
any ：所有地址

將ACL應(yīng)用于接口

Router(config)# ip access-group access-list-number {in | out}

在接口上取消ACL的應(yīng)用

Router(config)# no ip access-group access-list-number {in | out }

擴(kuò)展訪問控制列表

（1）基于源IP地址、目標(biāo)IP地址、指定協(xié)議、端口和標(biāo)志來過濾數(shù)據(jù)包
（2）擴(kuò)展訪問控制列表的訪問控制列表號(hào)是100~199

創(chuàng)建ACL

Router(config)#access-list access-list-number { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

刪除ACL

Router(config)# no access-list access-list-number

將ACL應(yīng)用于接口

Router(config-if)# ip access-group access-list-number { in | out }

在接口上取消ACL的應(yīng)用

Router(config-if)# no ip access-group access-list-number { in | out }

應(yīng)用實(shí)例

Router(config-if)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config-if)# access-list 101 deny ip any any

Rouer(config-if)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-if)# access-list 101 permit ip any any

Router(config-if)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config-if)# access-list 101 permit ip any any

命名訪問控制列表

（1）命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使用名稱代替表號(hào)

創(chuàng)建ACL

Router(config-if)#  ip access-list { standard(標(biāo)準(zhǔn)命名ACL) | extended(擴(kuò)展命名ACL)} access-list-name

配置標(biāo)準(zhǔn)命名ACL

Router(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [source-wildcard ]

配置標(biāo)準(zhǔn)命名ACL實(shí)例

只允許來自主機(jī)192.168.1.1/24的流量通過

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)#  deny any

更改ACL、又允許來自主機(jī)192.168.2.1/24的流量通過

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# 15 permit host 192.168.1.1   //添加序列號(hào)為15的ACL語句

配置擴(kuò)展命名ACL

Router(config-ext-nacl)# [ Sequence-Number ]  { permit | deny } protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

配置擴(kuò)展命名ACL

Router(config)# ip access-list extandard cisco
Router(config-ext-nacl)# deny  tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq  21
Router(config-ext-nacl)#permit ip any any

Sequence-Number 決定ACL語句在ACL列表中的位置

刪除整組ACL

Router(config)# no ip access-list { standard | extended ] access-list-name

刪除組中單一ACL語句

no Sequence-Number
no ACL 語句

創(chuàng)建ACL

Router(config)# ip access-list standard cisco
Router(config-stdnacl)# permit host 192.168.1.1
Router(config-stdnacl)#  end

刪除組中單一ACL語句

Router(config-stdnacl)#  no 10
或
Router(config-stdnacl)#  no permit host 192.168.1.1

將ACL應(yīng)用于接口

Router(config-if)# ip  access-group access-list-name {in | out}

在接口上取消ACL的應(yīng)用

Router(config-if)# no ip  access-group access-list-name {in | out}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享文章：ACL訪問控制列表概念及常用命令-創(chuàng)新互聯(lián)
標(biāo)題網(wǎng)址：http://www.chinadenli.net/article28/dgicjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊(cè)、云服務(wù)器、小程序開發(fā)、網(wǎng)頁設(shè)計(jì)公司、品牌網(wǎng)站建設(shè)、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)