Network-Route-ACL-1

ACL 访问控制 (以 Cisco 为主)

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

ACL 配置的基本原则

1、按顺序执行，只要有一条满足，则不会继续查找
2、隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认的
3、任何条件下只给用户能满足他们需求的最小权限
4、不要忘记把 ACL 应用到端口上

实验环境

R1
# config
(config)# interface ethernet 0/0

(config)# 192.168.1.1 255.255.255.0
(config)# no shutdown
(config)# interface loopback 0
(config)# 1.1.1.1 255.255.255.255

PC1 
PC> ip 192.168.1.10 255.255.255.0 192.168.1.1

PC2
PC> ip 192.168.1.20 255.255.255.0 192.168.1.1

PC2
PC> ip 192.168.1.30 255.255.255.0 192.168.1.1

// 在 PC 组件中查看配置信息
PC> show

// 若是 路由器模仿 PC 的话，需要关闭路由功能，并配置网关
(config)# no ip routing
(config)# ip default-gateway 192.168.1.1

实验 控制访问列表（协议版本） 1 ：

禁用除 192.168.1.10 外的其他 设备 ping 路由 1.1.1.1 地址

在 R1 路由配置访问控制

// 配置访问控制列表，注意先允许后拒绝
(config)# access-list 100 permit icmp host 192.168.1.10 host 1.1.1.1 echo
(config)# access-list 100 deny icmp any host 1.1.1.1 echo
// 在 e0/0 接口上启用 进站访问控制
// in 为 进站
// out 为 出站
(config)# interface e0/0
(config-if)# ip access-group 100 in

注：echo，是指 icmp 协议下面的 ping

查看访问配置

# show access-lists

注：部分机型不会显示每条控制的 编号，一般用命令配置的默认间隔 10 编号，即 10，20，30…

分别 查看 PC1 PC2 PC3 能否 ping 通

PC1 ping 1.1.1.1 结果

PC2 ping 1.1.1.1 结果

PC3 ping 1.1.1.1 结果

注：Communication administratively prohibited ，表示协议禁止

PC2 ping 192.168.1.1 结果

注：不能 ping 通 网关，说明这样配置是有问题的，因为当所有访问条目都没有匹配到时，默认后面会拒绝所有路由条目

在最后添加允许所有的访问控制

(config)# access-list 100 permit ip an any
ping 测试，配置完后能够正常 ping 通
1.1.1.1 		不能通
192.168.1.1 	通过

删除指定条目的访问控制

(config)#ip access-list extended 100
(config-ext-nacl)#no 20
(config-ext-nacl)#do show access-lists

添加指定位置的访问控制

20 deny icmp any host 1.1.1.1 echo

实验 控制访问列表（端口版本） 2 ：

删除之前配置的访问控制 100

(config)#no access-list 100

R1 配置远程登录

(config)# line vty 0 4
(config-line)# password 123
(config-line)# login

PC2 telnet 测试是否能够登录

telnet 1.1.1.1

配置 扩展访问列表 (只允许 192.168.1.10 主机 telnet 1.1.1.1)

(config)# ip access-list extended 100
(config-ext-nacl)# 5 permit tcp host 192.168.1.10 host 1.1.1.1 eq 23
(config-ext-nac1)# 10 deny tcp any host 1.1.1.1 eq 23
(config-ext-nac1)# 15 permit ip any any

注：eq 是控制端口，23号端口为 telnet

附

<0-65535>    Port number
 bgp          Border Gateway Protocol (179)
 chargen      Character generator (19)
 cmd          Remote commands (rcmd, 514)
 daytime      Daytime (13)
 discard      Discard (9)
 domain       Domain Name Service (53)
 drip         Dynamic Routing Information Protocol (3949)
 echo         Echo (7)
 exec         Exec (rsh, 512)
 finger       Finger (79)
 ftp          File Transfer Protocol (21)
 ftp-data     FTP data connections (20)
 gopher       Gopher (70)
 hostname     NIC hostname server (101)
 ident        Ident Protocol (113)
 irc          Internet Relay Chat (194)
 klogin       Kerberos login (543)
 kshell       Kerberos shell (544)
 login        Login (rlogin, 513)
 lpd          Printer service (515)
 nntp         Network News Transport Protocol (119)
 pim-auto-rp  PIM Auto-RP (496)
 pop2         Post Office Protocol v2 (109)
 pop3         Post Office Protocol v3 (110)
 smtp         Simple Mail Transport Protocol (25)
 sunrpc       Sun Remote Procedure Call (111)
 tacacs       TAC Access Control System (49)
 talk         Talk (517)
 telnet       Telnet (23)
 time         Time (37)
 uucp         Unix-to-Unix Copy Program (540)
 whois        Nicname (43)
 www          World Wide Web (HTTP, 80)