©2002,CiscoSystems,Inc.Allrightsreserved.第7章访问控制列表ACL本章要求访问控制列表（AccessControlList，ACL） 应用在路由器接口的指令列表 指定哪些数据报可以接收、哪一些需要拒绝 ACL用途 （1）限制网络流量、提高网络性能； （2）提供对通信流量的控制手段； （3）提供网络访问的基本安全手段； （4）在路由器（交换机）接口处，决定哪种类型的通信流量被转发、哪种被阻塞。ACL的工作过程入站访问控制操作过程出站访问控制操作过程入站接口 数据包 通知发送者ACL的逻辑测试过程YYY范围/标识源地址目的地址第一步：创建ACL0代表检查对应地址位的值 1代表忽略对应地址位的值例如：172.30.16.290.0.0.0表示检查所有的地址位 可以使用关键字host将上语句简写为：host172.30.16.29接受任何地址：0.0.0.0255.255.255.255 可以使用关键字any将上语句简写为：any CheckforIPsubnets172.30.16.0/24to172.30.31.0/24标准ACL的配置access-listaccess-list-number{permit|deny}source[mask]172.16.3.0只允许本机所在网络访问拒绝特定主机的访问172.16.3.0access-list1deny172.16.4.130.0.0.0 access-list1permit0.0.0.0255.255.255.255 (implicitdenyall) (access-list1deny0.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group1out拒绝特定子网的访问access-list1deny172.16.4.00.0.0.255 access-list1permitany (implicitdenyall)(access-list1deny0.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group1out扩展ACL的配置Router(config-if)#ipaccess-groupaccess-list-number{in|out}禁止子网172.16.3.0中任何主机访问172.16.4.13上的ftp服务 允许其他任何服务172.16.3.0access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21 access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq20 access-list101permitipanyany (implicitdenyall) (access-list101denyip0.0.0.0255.255.255.2550.0.0.0255.255.255.255) interfaceethernet0 ipaccess-group101out禁止172.16.4.0网段的主机远程登录（telnet）到172.16.3.0网段的任何机器 允许其他任何数据通过172.16.3.0access-list101denytcp172.16.4.00.0.0.255anyeq23 access-list101permitipanyany (implicitdenyall) interfaceethernet0 ipaccess-group101out命名（Named）ACL的配置Router(config)#Router(config)#ipaccess-list{standard|extended}name在靠近源地址的网络接口上设置扩展ACL 在靠近目的地址的网络接口上设置标准ACLwg_ro_a#showipinte0 Ethernet0isup,lineprotocolisup Internetaddressis10.1.1.11/24 Broadcastaddressis255.255.255.255 Addressdeterminedbysetupcommand MTUis1500bytes Helperaddressisnotset Directedbroadcastforwardingisdisabled Outgoingaccesslistisnotset Inboundaccesslistis1 ProxyARPisenabled Securitylevelisdefault Splithorizonisenabled ICMPredirects