功能介紹：

ACL 的全稱為訪問控制列表(Access Control Lists)，俗稱為防火墻，還稱之為包過濾。ACL通過定義一些規(guī)則，對網(wǎng)絡設備接口上的數(shù)據(jù)報文進行控制，根據(jù)匹配條件，決定是允許其通過(Permit) 還是丟棄(Deny) 。

?????? 常用的ACL包括：

??????????? 標準訪問控制列表

??????????? 擴展訪問控制列表

????????????????? 命令訪問控制列表

功能介紹：

標準ACL只能匹配源ip地址。

應用場景：

企業(yè)進行安全策略設置時，若想控制來自某些IP或某網(wǎng)段的所有流量，如禁止一些IP地址不能訪問所有資源，此時可使用標準ACL。若只想控制來自某些IP或網(wǎng)段的部分流量，如禁止一些IP地址訪問另一個網(wǎng)段，此時可采用擴展ACL。

使用注意：

應用ACL屬于高危操作，如果配置不當將導致部分用戶甚至所有用戶斷網(wǎng)。因此請認真核對配置并建議在允許網(wǎng)絡動蕩的情況下操作。

一、組網(wǎng)需求

禁止內網(wǎng)PC1 192.168.1.2 訪問互聯(lián)網(wǎng)，其它地址不受限制

二、組網(wǎng)拓撲

三、配置要點

1、在全局下配置標準ACL

2、在內網(wǎng)口調用

3、保存配置

?四、配置步驟

????? 1、在全局下配置標準ACL

注意：

1）標準ACL的編號范圍：1-99和1300-1999；擴展ACL的編號范圍：100-199和2000-2699。

2）標準ACL只匹配源ip地址，擴展ACL可以匹配數(shù)據(jù)流的五大元素（源ip地址、目的ip地址、源端口、目的端口、協(xié)議號）

3）ACL的匹配順序為從上往下（ACE序號從小到大）匹配ACE條目，若匹配對應的ACE條目后，就執(zhí)行該ACE條目的行為（允許/拒絕），不會再往下匹配其他ACE條目。

4）ACL最后隱含一條 deny any 的ACE條目，會拒絕所有流量。若是禁止某網(wǎng)段訪問，其他網(wǎng)段均放通，則應該在拒絕流量的ACE配置完成后，再加一條permit any的ACE條目，用來放行其他流量。

Ruijie(config)#ip access-list standard 1 ??????//創(chuàng)建標準acl 1

Ruijie(config-std-nacl)#10 deny 192.168.1.2 0.0.0.0??? //配置序列號10的acl條目，匹配PC1的ip 192.168.1.2（ip地址+反掩碼）

Ruijie(config-std-nacl)#20 permit any ?????//配置允許其它流量

Ruijie(config-std-nacl)#exit

2、在內網(wǎng)口調用

?Ruijie(config)#interface fastEthernet 0/0

Ruijie(config-if-FastEthernet 0/0)#ip access-group 1 in?????? //在內網(wǎng)口應用acl 1

3、保存配置

Ruijie(config-if-FastEthernet 0/0)#end????

Ruijie#write??????? //確認配置正確，保存配置

五、配置驗證

1、分別測試內網(wǎng)PC能否訪問互聯(lián)網(wǎng)，若PC1無法訪問互聯(lián)網(wǎng)，其它PC正常，則配置正確。

2、查看acl的配置

Ruijie#show access-lists

ip access-list standard 1

?10 deny 192.168.1.2 0.0.0.0

?20 permit any

3、查看acl在接口下的應用

Ruijie#show ip access-group

ip access-group 1 in

Applied On interface FastEthernet 0/0.

功能介紹：

擴展ACL可以匹配數(shù)據(jù)流的五大元素（源ip地址、目的ip地址、源端口、目的端口、協(xié)議號）。

應用場景：

企業(yè)進行安全策略設置時，若只想控制來自某些IP或網(wǎng)段的部分流量，如禁止某IP地址打開網(wǎng)頁，即可寫一條擴展的ACL，源是此IP地址，目的IP是所有，目的端口為80（網(wǎng)頁端口為80）的ACL進行控制，此時可采用擴展ACL。

使用注意：

應用ACL屬于高危操作，如果配置不當將導致部分用戶甚至所有用戶斷網(wǎng)。因此請認真核對配置并建議在允許網(wǎng)絡動蕩的情況下操作。

一、組網(wǎng)需求

不允許PC1 訪問100.100.100.100 的web服務（tcp 80端口），其它流量全部放行。

二、組網(wǎng)拓撲

三、配置要點

1、在全局下配置擴展ACL

2、在內網(wǎng)口調用

3、保存配置

四、配置步驟

?????? 1、在全局下配置擴展ACL

1）標準ACL的編號范圍：1-99和1300-1999；擴展ACL的編號范圍：100-199和2000-2699。

2）標準ACL只匹配源ip地址，擴展ACL可以匹配數(shù)據(jù)流的五大元素（源ip地址、目的ip地址、源端口、目的端口、協(xié)議號）

3）ACL的匹配順序為從上往下（ACE序號從小到大）匹配ACE條目，若匹配對應的ACE條目后，就執(zhí)行該ACE條目的行為（允許/拒絕），不會再往下匹配其他ACE條目。

4）ACL最后隱含一條 deny any 的ACE條目，會拒絕所有流量。若是禁止某網(wǎng)段訪問，其他網(wǎng)段均放通，則應該在拒絕流量的ACE配置完成后，再加一條permit any的ACE條目，用來放行其他流量。

Ruijie(config)#ip access-list extended 100

Ruijie(config-ext-nacl)#10 deny tcp 192.168.1.2 0.0.0.0 100.100.100.100 0.0.0.0 eq 80??? //配置acl拒絕內網(wǎng) 192.168.1.2 的PC訪問 100.100.100.100的80端口

Ruijie(config-ext-nacl)#20 permit ip any any??? //配置允許其它流量（必須配置）

Ruijie(config-ext-nacl)#exit

2、在內網(wǎng)接口上調用

Ruijie(config)#interface fastEthernet 0/0

Ruijie(config-if-FastEthernet 0/0)#ip access-group 100 in????? //接口下調用

3、保存配置

Ruijie(config-if-FastEthernet 0/0)#end????

Ruijie#write??????? //確認配置正確，保存配置

五、配置驗證

1、測試內網(wǎng)PC能否訪問100.100.100.100的web服務，及其他流量訪問，若PC1無法訪問100.100.100.100的web服務，其他流量訪問正常，則配置正確。

2、查看acl的配置

Ruijie#show access-lists

ip access-list extended 100

?10 deny tcp host 192.168.1.2 host 100.100.100.100 eq www

?20 permit ip any any

3、查看acl在接口下的應用

Ruijie#show ip access-group

ip access-group 100 in

Applied On interface FastEthernet 0/0.

功能介紹：

您可以使ACL 基于時間運行，比如讓ACL 在一個星期的某些時間段內生效等。為了達到這個要求，您必須首先配置一個Time-Range。Time-Range 的實現(xiàn)依賴于系統(tǒng)時鐘，如果您要使用這個功能，必須保證系統(tǒng)有一個可靠的時鐘。

應用場景

企業(yè)進行安全策略設置時，除了使用標準/擴展ACL匹配IP流量外，若還有需要對時間進行控制，例如企業(yè)控制員工上班時間不能訪問互聯(lián)網(wǎng)，下班后可以訪問互聯(lián)網(wǎng)，那么可以在標準/擴展ACL加上時間匹配。

?使用注意：

一、組網(wǎng)需求

白天上班時間（9：00~12：00及 14：00~18：00），禁止內網(wǎng)PC訪問互聯(lián)網(wǎng)，其它時間段可以訪問互聯(lián)網(wǎng)，內網(wǎng)之間互訪的流量不受限制。

二、組網(wǎng)拓撲

三、配置要點

1、要先配置設備的時間，ACL的生效時間，參照的是本設備的時間

2、時間段不能跨0：00，即如果要寫晚上10：00點到第二天早上7：00的時間段，需要分兩段寫

Ruijie(config)#time-range aaa

Ruijie(config-time-range)#periodic daily 0:00 to 7:00

Ruijie(config-time-range)#periodic daily 22:00 to 23:59

3、標準ACL及擴展ACL都支持基于時間段來控制

四、配置步驟

????? 1、配置設備時間

Ruijie>enable?

Ruijie#clock set 10:00:00 12 1 2012 ????// clock set 小時:分鐘:秒?? 月? 日年

Ruijie#configure terminal??????? // 進入全局配置模式

Ruijie(config)#clock timezone beijing 8??? // 設置設備的時區(qū)為東8區(qū)

2、配置時間段參數(shù)

Ruijie(config)#time-range work ?????//定義一個名字為work的時間段

Ruijie(config-time-range)#periodic daily 9:00 to 12:30

Ruijie(config-time-range)#periodic daily 14:00 to 18:30

Ruijie(config-time-range)#exit

3、配置關聯(lián)時間段的ACL

Ruijie(config)#ip access-list extended 100

Ruijie(config-ext-nacl)#10 deny ip 192.168.1.0 0.0.0.255 any time-range work//在work的時間段，拒絕內網(wǎng)192.168.1.0 /24到外網(wǎng)的任何流量

Ruijie(config-ext-nacl)#20 permit ip any any??? //配置允許其它流量（必須配置），ACL最后隱含一條 deny any 語句，會拒絕所有流量

Ruijie(config-ext-nacl)#exit

4、接口下調用

Ruijie(config)#interface fastEthernet 0/0

Ruijie(config-if-FastEthernet 0/0)#ip access-group 100 in????? //在內網(wǎng)口調用配置好的acl 100

5、保存配置

Ruijie(config-if-FastEthernet 0/0)#end????

Ruijie#write??????? // 確認配置正確，保存配置

五、配置驗證

1、通過如上的clock set調整設備的時間，內網(wǎng)PC分別測試是否能夠上互聯(lián)網(wǎng)，上班時間（9:00-12:00 14:00-18:00）內網(wǎng)PC不能訪問互聯(lián)網(wǎng)，非上班時間，內網(wǎng)PC可以訪問互聯(lián)網(wǎng)。

2、查看設備的相應配置

1）查看設備的時間

Ruijie#show clock

10:14:01 beijing Sat, Dec 1, 2012

2）查看acl的配置

Ruijie#show access-lists

ip access-list extended 100

?10 deny ip 192.168.1.0 0.0.0.255 any time-range work (active) ????//acl的狀態(tài)為生效，因為當前設備時間為上班時間，當設備時間沒到acl的生效時間時，顯示的acl狀態(tài)為inactive

?20 permit ip any any

3）查看acl在接口下的調用

Ruijie#show ip access-group

ip access-group 100 in

Applied On interface FastEthernet 0/0.

功能介紹：

您可以使自反ACL來達到單向訪問的目的。路由器根據(jù)由內網(wǎng)始發(fā)流量的第三層和第四層信息自動生成一個臨時性的訪問表, 臨時性訪問表的創(chuàng)建依據(jù)下列原則： protocol 不變， source-IP 地址， destination-IP 地址嚴格對調， source-port,destination-port 嚴格對調。只有當返回流量的第三、四層信息與先前基于出站流量創(chuàng)建的臨時性訪問表的第三、四層信息嚴格匹配時，路由器才會允許此流量進入內部網(wǎng)絡

應用場景

企業(yè)進行安全策略設置時，除了使用標準/擴展ACL匹配IP流量外，若還有單向訪問的需求，則可以使用該功能，只有當一邊網(wǎng)絡主動發(fā)起訪問時，才能放通對端的回包，如果對端主動發(fā)起訪問，則被acl所拒絕。

使用注意：

一、組網(wǎng)需求

R1的loopback 0地址1.1.1.1 可以主動訪問R3的loopback 0 3.3.3.3；但是R3卻不能主動訪問R1；實現(xiàn)R1到R3單向訪問的需求。。

二、組網(wǎng)拓撲

三、配置要點

1、完成各個設備的包含接口ip以及路由的基礎配置

2、在R2上配置自反ACL

四、配置步驟

??????1、完成各個設備的包含接口ip以及路由的基礎配置

略

2、配置自反ACL

R2(config)#ip access-list extended 100

R2(config-ext-nacl)#permit ip host 1.1.1.1 host 3.3.3.3

R2(config)#inter gi0/0

R2(config-if-GigabitEthernet 0/0)#ip access-group 100 in reflect

R2(config)#ip access-list extended 101

R2(config-ext-nacl)#deny ip any any

R2(config)#inter gi0/1

R2(config-if-GigabitEthernet 0/0)#ip access-group 101 in?

五、配置驗證

1、通過上述配置，發(fā)現(xiàn)從R1帶源loopback0可以ping通R3的loopback0

R1#ping 3.3.3.3 source 1.1.1.1

Sending 5, 100-byte ICMP Echoes to 3.3.3.3, timeout is 2 seconds:

? < press Ctrl+C to break >

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 10/12/20 ms

2、從R3帶源loopback0不可以ping通R1的loopback0

R3#ping 1.1.1.1?source 3.3.3.3? ? ? ? ? ?

Sending 5, 100-byte ICMP Echoes to 1.1.1.1, timeout is 2 seconds:

? < press Ctrl+C to break >

.....

Success rate is 0 percent (0/5文章來源地址http://www.zghlxwxcb.cn/news/detail-766794.html