acl访问控制列表

ACL的应用

一、 概述

属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。 现在可以应用在：

1、 data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发

等操作（对象:数据包、数据帧）

2、 control plan 对路由条目的匹配，对路由条目执行策略（路由条目）

二、 理论以及命令

全局模式下：access-list <1-99> IP标准访问控制列表 <100-199>IP扩展访问控制列表

<200-299>协议类型代码访问控制列表 没有明确标准的应用的流量 <300-399>DECnet 访问控制列表

<700-799>48bit MAC地址访问控制列表

<1100-1199>扩展的48bit MAC地址访问控制列表 <1300-1999>IP标准访问控制列表 <2000-2699>IP扩展访问控制列表

这些包含了常见的IP的二层协议和三层协议

1、 标准

只能匹配协议中的一个地址（源地址） 命令

access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0） 掩码：/nn&x.x.x.x log/

例子 access-list 1 permit 1.1.1.1

访问控制列表必须在某种技术环节下调用，否则不存在

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

应用访问控制列表ACL实现网络单向访问

在企业网络中经常遇到这样的问题：在网络一个重要的部门的主机或服务器不允许其他部门访问，而这个部门却可以去访问其他的部门的主机或服务器。我们可以利用访问控制列表ACL实现单方向访问来实现以上单向访问功能。

所谓单向访问，就是一部分网络主机可以访问另一部分网络主机，而反过来则不允许访问。对于单向访问不能简单的通过访问控制列表ACL中的deny语句来实现，deny语句可以实现A、B主机间访问数据流的彻底阻断，但是无法实现单向访问。因为如果deny掉A主机到B主机的访问，那么B主机也就不能访问A主机了（因为B主机到A主机的访问数据虽然能到达A主机，但是A主机的回复数据流被ACL访问控制列表规则阻断了）。 那么怎么实现单向访问呢？答案是利用permit语句。方法就是利用permit语句让B主机访问A主机的同时允许A主机的响应数据流通过（要在permit语句中使用established参数），但是不允许由A主机发起的到B主机的访问通过，这样就可以实现B主机向A主机的单向访问。

扩展的单向访问控制列表ACL的基本配置命令如下： Router(config)#access-list access-list-number

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口

S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。 2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3.

［项目五］配置访问控制列表（ACL）

［项目内容］

如图5.1所示的网络拓扑，要求实现以下任务：

1． 配置EIGRP路由协议，保证网络通信正常；

2． 在R1配置ACL，要求完成以下功能：

（1） 拒绝主机A所在的网络访问Web服务器；

（2） 拒绝主机A所在的网络ping到外部网络的任何地址。

3． 配置R2，使得只允许主机C telnet到路由器R2；

图5.1 网络拓扑

［操作步骤］

一．EIGRP路由协议的配置

1．搭建网络环境

绘制如图5.1所示的网络拓扑并配置好路由器和计算机的端口及IP地址。

2．配置EIGRP路由协议

（1）配置R1

R1(config)#router eigrp 100

R1(config-router)#net 10.1.1.0 0.0.0.255

R1(config-router)#net 12.12.12.0 0.0.0.255

R1(config-router)#no auto-summary

（2）配置R2

R2(config)#router eigrp 100

R2(config-router)#net 12.12.12.0 0.0.0.255

R2(config-router)#net 23.23.23.0 0.0.0.255

R2(co

桂林电子科技大学职业技术学院毕业设计（论文）

桂林电子科技大学职业技术学院

毕业设计（论文）

访问控制列表ACL在校园网中的应用初

探

学院（系）：电子信息工程系 专业名称：通 信 技 术 学 号： 学生姓名： 指导教师：

- 1 -

桂林电子科技大学职业技术学院毕业设计（论文）

桂林电子科技大学职业技术学院 毕业设计（论文）任务书

系别：电子信息工程系 学号： 姓名： 指导教师： 设计（论文）题目：访问控制列表ACL在校园网中的应用初探 设计（论文）主要内容：

(1)、ACL的发展，现状和将来，详细介绍ACL的概念，原理，工作流程，分类和局限性。

(2)、详细说明ACL的匹配顺序，创建出一个控制访问列表的简单示例，并详细说明控制访问列表的配置任务和放置控制访问列表的正确位置。

(3)、配置各种类型的访问控制列表，比如基本访问控制列表，高级访问控制列表，基于接口的访问控制列表

基于时间的访问控制列表及ASA 防火墙ACL 的添加技巧

2010-08-10 15:28:55| 分类： ACL | 标签： |字号大中小 订阅 最近做项目正好碰到，就随便记录了一下

基于时间的访问控制列表

一 建立时间范围

基于时间的访问控制列表实际上是扩展ACL 的延伸，使用time-range 关键字来指定ACL 语句的有效时间和发生的周期，时间周期可以是重复的，例如每天10到12点，或者是绝对的只发生一次。

下面我就对基于时间访问控制列表的一些关键字做一个解释 time-range

使用time-range 建立时间的范围 如 time-range[ time-range-name] 必须给这个时间范围给一个唯一的名称。名称必须以字母开头，不可以用空格。我们后面会使用这个名称将这个时间范围关联的指定的ACL 上。

执行 time-range[ time-range-name] 进入子配置模式，可以使用两种类型的时间范围，

? Absolute (只执行一次) 指定单个时间周期，在此周期有效，Absolute 命令指定一个开始时间和一个结束时间，以24 小时制。

? Periodic (重复性，周期性) 命令

交换机配置（三）ACL基本配置

1，二层

ACL

. 组网需求:

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段

# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily

(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link

# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei (3)激活AC

Cacls

显示或修改指定文件上的随机访问控制列表 (DACL)。

语法

cacls FileName [/t] [/e [/r User [...]]] [/c] [/g User:Permission] [/p User:Permission [...]] [/d User [...]]

参数

FileName

必需。显示指定文件的 DACL。 /t

更改当前目录和所有子目录中指定文件的 DACL。 /e

编辑 DACL，而不是替换它。 /r user

吊销指定用户的访问权限，没有 /e 无效。 /c

忽略错误，继续修改 DACL。 /g User:Permission

将访问权限授予指定用户。下表列出了 Permission 的有效值。

值 描述

n r w c

无建议 读取 写入 更改（写入）

f 完全控制

/p User:Permission

替代指定用户的访问权限。下表列出了 Permission 的有效值。

值 描述

n r w c

无建议 读取 写入 更改（写入）

f 完全控制

/d user

拒绝指定用户的访问。

/?

在命令提示符下显示帮助。

注释

?

使用下表解释输出结果。

输出

配置路由器 交换机

实训十 路由器的标准访问控制列表

一、实训目的和要求

1、掌握访问控制列表的概念。

2、掌握标准访问控制列表的基本配置命令和配置方法。

二、实训内容

为路由器配置标准访问控制列表，并测试连通性。

三、命令格式

Router(config)#access-list [list number] [permit|deny] [host|any] [source address]

[wildcard-mask] [log] ;标准访问控制列表

list number——表号，标准ip访问控制列表的表号标识是从1到99。

permit|deny——允许或拒绝，用来表示满足标准访问控制列表项的报文是允许通过接口，还是要过滤。

source address——源地址，对于标准ip访问控制列表，源地址是主机或一组主机的点分十进制表示。

host|any——主机匹配，host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，any是源地址/目标地址0.0.0.0/255.255.255.255的简写。

wildcard-mask——通配符掩码，Cisco标准访问控制列表功能所支持的通配符掩码与子网掩码的方式是刚好相反的。也就是说，二进制的