用訪問控制列表管理數據流課程議題經過本章的學習，你可以獲得以下收獲：了解ACL的概念，及其作用了解ACL的工作原理和過程掌握ACL的基本配置，實現對數據流的控制學習目標12.1

ACL基本原理Internet什么是ACL?ACL（訪問控制列表）定義：當網絡流量不斷增長的時候，對數據流進行管理和限制的方法作為通用判別標準應用到不同場合ACL的使用場合哪些場合需要使用ACL？允許或禁止對路由器或來自路由器的telnet訪問QOS與隊列技術策略路由數據速率限制路由策略端口流鏡像NAT……

數據包出接口數據包入接口ACL處理過程允許?源地址、目的地址協議ACL的分類(1)標準ACL僅以源IP地址作為過濾標準只能粗略的限制某一大類協議擴展ACL以源IP地址、目的IP地址、TCP/UDP源端口號、TCP/UDP目的端口號、ICMP類型、ICMPCode、DSCP（DiffServCodePoint）、ToS、Precedence作為過濾標準，可以精確的限制到某一種具體的協議

數據包出接口數據包入接口ACL處理過程允許?源地址、目的地址協議ACL的分類(２)二層ACL源MAC地址、目的MAC地址、源VLANID、二層以太網協議類型、802.1p優先級值進行匹配?；旌螦CL對源MAC地址、目的MAC地址、源VLANID、源IP地址、目的IP地址、TCP源端口號、TCP目的端口號、UDP源端口號、UDP目的端口號進行匹配。12.2

ACL的工作流程否是丟棄處理選擇出接口

否ACL?路由表?數據包出接口ACL如何工作數據包入接口數據包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數據包入接口數據包出接口否是丟棄處理選擇接口

路由表?否ACL匹配控制允許?是ACL如何工作ACL?是數據包入接口否ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口拒絕拒絕是匹配第一條規則?允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否下一條?是是拒絕拒絕拒絕允許允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否匹配下一條?匹配最后一條?是是否是是拒絕拒絕拒絕拒絕允許允許允許ACL的匹配順序ACL內部處理具體過程：丟棄處理是目的接口是匹配第一條規則?否匹配下一條?匹配最后一條?是是否是是**說明：當ACL的最后一條不匹配時，系統使用隱含的“丟棄全部”進行處理！拒絕拒絕拒絕拒絕允許允許允許否目的IP地址源IP地址協議號目的端口段(如TCP報頭)數據數據包(IP報頭)幀報頭(如HDLC)

使用ACL檢測數據包拒絕允許ACL的判別依據－五元組源端口12.３在什么地方配置ACLACL的應用對于標準ACL，由于它只能過濾源IP，為了不影響源主機的通信，一般我們將標準ACL放在離目的端比較近的地方；擴展ACL可以精確的定位某一類的數據流，為了不讓無用的流量占據網絡帶寬，一般我們將擴展ACL放在離源端比較近的地方。

ACL配置規則

1.ACL語句執行順序2.隱含的拒絕所有的條目3.ACL可應用于IP接口或某種服務4.ACL配置順序5.ACL的應用6.ACL的方向反掩碼（通配符的作用）0代表對應位必須與前面的地址相應位一致1代表對應位可以是任意值donotcheckaddress

(ignorebitsinoctet)=001111111286432168421=00000000=00001111=11111100=11111111ignorelast6addressbitscheckalladdressbits(matchall)ignorelast4addressbitschecklast2addressbitsExamples9

(匹配所有32位)Wildcardmask:匹配特定主機地址匹配條件:匹配所有32位地址----主機地址55意為接受所有地址可簡寫為any

55(忽略所有位的比較)AnyIPaddress通配符:匹配任意地址匹配條件:匹配任意地址（任意地址都被認為符合條件）指定特定地址范圍172.30.16.0/24到172.30.31.0/24172.30.16.0

00010000通配符: 00001111 |<-------

匹配

------->|<-----忽略----->|

00010000 = 16

00010001 = 17

00010010 = 18 : :

00011111 = 31地址與通配符如下55匹配特定子網ACL的規則總結思考：我們應該按照怎樣一個順序配置ACL按照由上到下的順序執行，找到第一個匹配后既執行相應的操作（然后跳出ACL）每條ACL的末尾隱含一條denyany的規則ACL可應用于某個具體的IP接口的出方向或入方向ACL可應用于系統的某種特定的服務（如針對設備的TELNET）在引用ACL之前，要首先創建好ACL對于一個協議，一個接口的一個方向上同一時間內只能設置一個ACL12.４ＡＣＬ配置步驟2:設置判斷標準語句(一個ACL可由多個語句組成){deny|permit}{source[source-wildcard]|any}Router(config-std-nacl)#ACL配置步驟(基本ACL)3:將ACL應用到接口上ipaccess-group{<access-list-number>|<name>}in

Router(config-if)#IPaccess-list-number范圍1-991:進入基本ACL配置模式

ip

access-list

standard

{<access-list-number>|<name>}Router(config)#2:設置判斷標準語句(一個ACL可由多個語句組成){permit|deny}協議類型

{<source><source-wildcard>|any}{<dest><dest-wildcard>|any}Router(config-ext-nacl)#ACL配置步驟(擴展ACL)3:將ACL應用到接口上ipaccess-group<access-list-number>in

Router(config-if)#IPaccess-list-number范圍100-1991:進入擴展

ACL配置模式

ipaccess-listextended{<access-list-number>|<name>}Router(config)#ACL的訪問表號每個ACL都有一個用以識別的訪問表號，它是一個數字，不同類型ACL的訪問表號范圍如下： 基本ACL：1~99 擴展ACL：100~199 二層ACL：200~299 混合ACL：300~349每個ACL中的規則最多為100條，規則號范圍1~100。3Fei_3/1Fei_1/1非網段只允許兩邊的網絡互相訪問Router(config)#ipaccess-liststandard

1Router(config-std-nacl)#permit

55Router(config)#interfaceFei_1/1Router(config-if)#ipaccess-group

1

outFei_2/1標準ACL配置實例－－控制telnet訪問!!只允許

網段中的主機才能對路由器進行telnet訪問Router(config)#ipaccess-liststandard

12Router(config-std-nacl)#permit

55Router(config)#linevty

04Router(config-line)#access-class

12

in/24網段我只接受來自/24的telnet訪問！/24網段telnet/24網段INTERNET2:設置判斷標準語句(一個ACL可由多個語句組成){permit|deny}協議類型

{<source><source-wildcard>|any}{<dest><dest-wildcard>|any}Router(config-ext-nacl)#ACL配置步驟(擴展ACL)3:將ACL應用到接口上ipaccess-group<access-list-number>in

Router(config-if)#IPaccess-list-number范圍100-1991:進入擴展

ACL配置模式

ipaccess-listextended{<access-list-number>|<name>}Router(config)#擴展ACL的配置實例1拒絕從子網

到子網

通過fei_1/1口進去的FTP訪問允許其他所有流量3Fei_3/1Router(config)#ipaccess-liststandard

101Router(config-ext-nacl)#denytcp

5555

Eq

ftpRouter(config-ext-nacl)#permit

ip

anyany

Router(config)#interface

fei_2/1Router(config-if)#ipaccess-group

101

out

非網段Fei_1/1Fei_2/1ACL配置原則ACL語句的順序很關鍵

ACL按照由上到下的順序執行，找到一個匹配語句后既執行相應的操作，然后跳出ACL而不會繼續匹配下面的語句。所以配置ACL語句的順序非常關鍵！

自上到下的處理順序具體的判別條目應放置在前面標準ACL可以自動排序：主機網段any隱含的拒絕所有的條目除非最后有明確的允許語句，否則最終拒絕所有流量，所以ACL中必須有允許條目存在，否則一切流量被拒絕查看某物理端口是否應用了ACL

：命令格式：showinterface<port-name>命令模式：特權模式命令功能：顯示以太網端口配置信息查看ACL的內容顯示所有或指定表號的ACL的內容：命令格式：showipaccess-lists[<

access-lists-number>|<name