ACL 访问控制技术

LOGO

ACL 访问控制技术

目录

ACL 的分类 2

ACL 的访问顺序4

ACL 概述 31

ACL 配置 33

ACL 概述

一、什么是 ACL ACL 全称访问控制列表： Access Control List ，网络中常说的

ACL 是 IOS/NOS 等网络操作系统所提供的一种访问控制技术，初期仅在路由器上支持，现在已经扩展到三层交换机，部分最新的二层交换机也开始提供 ACL 支持。

二、 ACL 的原理、功能与局限性基本原理： ACL 使用包过滤技术，在路由器上读取第三层及第四

层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能： ACL 的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点对资源节点的访问权限。

局限性：由于 ACL 是使用包过滤技术来实现的，过滤的依据是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

ACL 概述

三、 ACL 的工作过程

ACL 的分类

1 ．标准 ACL2 ．扩展 ACL3 ．命名 ACL4 ．基于时间的访问控制列表

ACL 的配置

1 ．标准 ACL 的配置第一步，定义访问控制列表，其命令格式如下： Router(config)# access-list access-list-number { permit | deny }

source [source-wildcard] [log]例如： Router(config)# access-list 1 permit 10.0.0.0 0.255.255.255 第二步，把标准 ACL 应用到一个具体接口 Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number

{in | out} 例如： Router(config)# int s1/1 Router(config-if)# ip access-group 1 out

ACL 的配置

2 ．扩展 ACL 的配置第一步，定义访问控制列表，其命令格式如下： Router(config)# access-list access-list-number { permit |

deny } protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]

例如： Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

第二步，把扩展 ACL 应用到一个具体接口： Router(config)# int interface Router(config-if)# { protocol } access-group access-list-

number {in | out} 例如： Router(config)# int s1/1 Router(config-if)# ip access-group 1 out

ACL 的配置

3 ．命名 ACL 配置第一步，创建一个 ACL 命名，要求名字字符串要唯一 Router(config)# ip access-list { standard | extended } name 第二步，定义访问控制列表，其命令格式如下标准的 ACL ： Router(config-sta-nacl)# { permit | deny } source [source-

wildcard] [log] 或扩展的 ACL Router(config-ext-nacl)# { permit | deny } protocol source

source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log]

第三步，把 ACL 应用到一个具体接口上： Router(config)# int interface Router(config-if)# { protocol } access-group name {in | out}

ACL 的配置

4 ．基于时间的访问控制列表第一步是定义一个时间范围；格式为： time-range time-range-name （时间范围的名称）可以定义绝对时间范围和周期、重复使用的时间范围。第二步是在访问列表中用 t i m e -range 引用时间范围基于时间的标准 ACL ： Router(config)# access-list access-list-number { permit | deny }

source [source-wildcard] [log] [time-range time-range-name] 基于时间的扩展 ACL ： Router(config)# access-list access-list-number { permit | deny }

protocol source source-wildcard [operator operand] destination destination-wildcard [ operator operand] [ established ] [log] [time-range time-range-name]

第三步，把 ACL 应用到一个具体接口： Router(config)# int interface Router(config-if)# { protocol } access-group access-list-number

{in | out}

ACL 的配置

基于时间的访问控制列表配置实例： router# configure terminal router(config)# time-range allow-www router(config-time-range)# asbolute start 7:00 1

June 2010 end 17:00 31 December 2010 router(config-time-range)# periodic weekend

7:00 to 17:00 router(config-time-range)# exit router(config)# access-list 101 permit tcp

192.168.1.0 0.0.0.255 any eq www time-range allow-www

router(config)# interface serial 1/1 router(config-if)# ip access-group 101 out

ACL 的访问顺序

ACL 访问控制列表，由一系列访问控制语句组成，按照各访问控制语句在 ACL 中的顺序，根据其判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

如果所有的条件语句都没有被匹配，则最后将强加一条拒绝全部流量的隐含语句。在缺省情况下，虽然看不到最后一行，但最后总是拒绝全部流量的。

当一个 ACL 被创建后，新的语句行总是被加到ACL 的最后，因此，无法删除某一条 ACL 语句，只能删除整个 ACL 列表。

ACL 的访问顺序

ACL 的执行顺序如图

LOGO

ACL 访问控制技术

Documents