acl会议

01-07 ACL配置

Page 1 of 18

本章节

01-07 ACL配置

Page 2 of 18

目 录

7 ACL配置

7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表

7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例

01-07 ACL配置

Page 3 of 18

插图目录

01-07 ACL配置

Page 4 of 18

插图目录

图7-1 ACL配置案例组网图

01-07 ACL配置

Page 5 of 1

ACL

百科名片 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 目录

ACL介绍 ACL的作用 ACL 3p原则 ACL的执行过程 ACL的分类 正确放置ACL 定义ACL时所应遵循的规范 编辑本段ACL介绍

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。 ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。 [1]

编辑本段ACL的作用

ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

ACL提供对通信流量的控制手段

01-07 ACL配置

Page 1 of 18

本章节

01-07 ACL配置

Page 2 of 18

目 录

7 ACL配置

7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表

7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例

01-07 ACL配置

Page 3 of 18

插图目录

01-07 ACL配置

Page 4 of 18

插图目录

图7-1 ACL配置案例组网图

01-07 ACL配置

Page 5 of 1

01-07 ACL配置

Page 1 of 18

本章节

01-07 ACL配置

Page 2 of 18

目 录

7 ACL配置

7.1 访问控制列表简介 7.1.1 访问控制列表概述 7.1.2 访问控制列表的分类 7.1.3 访问控制列表的匹配顺序 7.1.4 访问控制列表的步长设定 7.1.5 基本访问控制列表 7.1.6 高级访问控制列表 7.1.7 ACL对分片报文的支持 7.1.8 ACL生效时间段 7.1.9 ACL统计 7.2 配置访问控制列表

7.2.1 建立配置访问控制列表的任务 7.2.2 创建ACL生效时间段 7.2.3 配置ACL描述信息 7.2.4 配置基本访问控制列表 7.2.5 配置高级访问控制列表 7.2.6 配置ACL的步长 7.2.7 使能ACL统计 7.2.8 检查配置结果 7.3 维护访问控制列表 7.4 ACL基本配置举例

01-07 ACL配置

Page 3 of 18

插图目录

01-07 ACL配置

Page 4 of 18

插图目录

图7-1 ACL配置案例组网图

01-07 ACL配置

Page 5 of 1

4.1 标准ACL 配置

提问：如何只允许端口下的用户只能访问特定的服务器网段？ 回答：

步骤一：定义ACL

S5750#conf t ----进入全局配置模式

S5750(config)#ip access-list standard 1 ----定义标准ACL S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255 ----允许访问服务器资源

S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源 锐捷RGNOS CookBook 13

S5750(config-std-nacl)#exit ----退出标准ACL 配置模式 步骤二：将ACL 应用到接口上

S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口 S5750(config-if)#ip access-group 1 in ----将标准ACL 应用到端口in 方向 注释：

1. S1900 系列、S20 系列交换机不支持基于硬件的ACL。

2. 实际配置时需注意，在交换机每个ACL 末尾都隐含着一条“拒绝所有数据流”的语句。

3.

第21章 ACL配置

ACL 的全称为访问控制表(Access Control List)，简称为访问表（Access List）。ACL是一个有序的规则集，其中包含的规则称为访问控制表项（Access Control Entry：ACE）。

迈普系列交换机中的ACL以及与其相关的对象、动作组、计量器按如下图所示的逻辑关系进行组织，以实现报文过滤、报文分类、流量控制应用。

Global对象ACLACE1（permit ...）ACE2（deny ...）VLAN对象...ACEn（permit ...）deny anyPort对象Action Group 2Action1Action2...Action Group 1Action1Action2...Traffic Meter 2Traffic Meter 1Action Group 3Action1Action2... 迈普系列交换机中可应用ACL的对象有四类：全局对象（Global Object）、VLAN对象（VLAN Object）、端口对象（Interface Object）、三层接口对象（Interface VLAN Object）。全局对象是指本交换机，应用在其上的ACL作用范

HCNE练习八

ACL配置

1. 访问控制列表配置中，操作符“gt portnumber”表示控制的是（ ） A.端口号小于此数字的服务 B.端口号大于此数字的服务 C.端口号等于此数字的服务 D.端口号不等于此数字的服务

2. 某台路由器上配置了如下一条访问列表 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 表示：（ ） A.只禁止源地址为202.38.0.0网段的所有访问 B.只允许目的地址为202.38.0.0网段的所有访问

C.检查源IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段上的主机

D.检查目的IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段的主机

3. 对防火墙如下配置： firwell enable 端口配置如下 interface Serial0

ip address 202.10.10.1 255.255.255.0 link-protocol ppp nat en

ACL（访问控制列表）理论：

ACL简单的说就是一个列表

基本的ACL可以让你去哪里就去哪里不让你去哪里就不能去哪里

拓展的ACL可以让你去哪里干什么不让你去哪里干什么

ACL首先需要观察你需要控制的两个网段的数据流方向

然后分清楚源地址（起点）和目的地址（目的地）

基本的ACL格式

可以看到在后面可以打一个IP地址或者是一个网段但是要跟上通配符（0.0.0.255 表示网段0.0.0.0表示一个IP地址）（这里就是源地址也就是起点）

一个any 这表示所有的

Host就是一个主机后面跟的就是一个IP地址

打完以一段跟源头有关的接着打目的地的

基本的ACL直接在后面跟你需要的网段号或者IP地址就行了

拓展的其实原理跟基本的一样只是需要在premit或者deny后面跟一个ip后者tcp

源和目的都需要跟基本ACL里打源头的方法一样一个（IP地址或者是一个网段但是要跟上通配符）

TCP后面记得添加一个端口号(列如：eq ftp)

题目配置

SW1配置

SW1>en

SW1#conf

SW1(config)#vlan 10

SW1(config-vlan)#vlan 20

SW1(config-vlan)#vlan 30

SW1(config-vlan)#int vlan 10

SW1(con

Cacls

显示或修改指定文件上的随机访问控制列表 (DACL)。

语法

cacls FileName [/t] [/e [/r User [...]]] [/c] [/g User:Permission] [/p User:Permission [...]] [/d User [...]]

参数

FileName

必需。显示指定文件的 DACL。 /t

更改当前目录和所有子目录中指定文件的 DACL。 /e

编辑 DACL，而不是替换它。 /r user

吊销指定用户的访问权限，没有 /e 无效。 /c

忽略错误，继续修改 DACL。 /g User:Permission

将访问权限授予指定用户。下表列出了 Permission 的有效值。

值 描述

n r w c

无建议 读取 写入 更改（写入）

f 完全控制

/p User:Permission

替代指定用户的访问权限。下表列出了 Permission 的有效值。

值 描述

n r w c

无建议 读取 写入 更改（写入）

f 完全控制

/d user

拒绝指定用户的访问。

/?

在命令提示符下显示帮助。

注释

?

使用下表解释输出结果。

输出

ACL的应用

一、 概述

属于IOS包过滤防火墙的一部分，但是现在不仅仅是用在这个方面。 现在可以应用在：

1、 data plan 通过一些对数据包的匹配，抓到数据包对数据包进行丢弃或者转发

等操作（对象:数据包、数据帧）

2、 control plan 对路由条目的匹配，对路由条目执行策略（路由条目）

二、 理论以及命令

全局模式下：access-list <1-99> IP标准访问控制列表 <100-199>IP扩展访问控制列表

<200-299>协议类型代码访问控制列表 没有明确标准的应用的流量 <300-399>DECnet 访问控制列表

<700-799>48bit MAC地址访问控制列表

<1100-1199>扩展的48bit MAC地址访问控制列表 <1300-1999>IP标准访问控制列表 <2000-2699>IP扩展访问控制列表

这些包含了常见的IP的二层协议和三层协议

1、 标准

只能匹配协议中的一个地址（源地址） 命令

access-list 1 permit（允许）/deny（拒绝）/remark hostname/x.x.x.x/any（所有主机通配符32个1）/host（一台单一主机通配符32个0） 掩码：/nn&x.x.x.x log/

例子 access-list 1 permit 1.1.1.1

访问控制列表必须在某种技术环节下调用，否则不存在