知识点：

简介：

访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议（被路由协议是一些用于定义数据报内字段格式并且为用户的通讯传输提供一种机制的协议（也就是打包），如IP、IPX、AppleTalk等。路由协议则负责运输。例如ospf、IGRP）

功能：

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。如可以配置ACL，禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。

ACL分类：

目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。
标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。

ACL配置位置：

标准ACL要尽量靠近目的端。扩展ACL要尽量靠近源端。

命令配置顺序：

ACL语句会按照先后顺序执行。一个包只要遇到一条匹配的ACL语句后就会停止后续语句的执行。
比如你想deny 源是192.168.1.1 目的是192.168.2.1的主机流量，如果先写access-list 100 permit ip any any （允许任何流量通过）
再写access-list 100 deny ip host 192.168.1.1 host 192.168.2.1
那么第二条是没有效果的，因为第一条已经放行了所有的流量。
我们在写ACL时，一定要遵循最为精确匹配的ACL语句一定要写在最前面的原则

方向：

根据流量方向，进路由器的端口设置为in,出路由器的端口设置为out。

注：1.在acl中默认在最后有一条隐藏语句 deny ip any any（只要配ACL这条命令一定默认会有）。如果想要使这条效果失效，就在末尾加句permit ip any any
2.acl仅对穿越路由器的数据包过滤，对本路由器起源的数据包不过滤。

命令格式：access-list命令
（1）标准访问列表
access-list access-list-number { permit | deny } {source [source-wildcard] | any}
命令解释如下。
access-list：访问列表命令。
access-list-number：访问列表号码，值为1~99.
permit：允许。
deny：拒绝。
source：源IP地址。
source-wildcard：源IP地址的通配符(0表示必须匹配，1表示不用，与掩码相反)。
（2）扩展访问列表
access-list access-list-number { permit | deny } { protocol \ protocol-keyword } { source [ source-wildcard ] | any } { destination destination-wildcard } | any }[protocol-specific options][log]
命令解释如下。
access-list-number：访问列表号码，值为100~199.
protocol \ protocol-keyword：可使用的协议，包括IP、ICMP、IGRP、EIGRP、OSPF等。
destination destination-wild：目的IP地址，格式与源IP地址相同。
protocol-specific options：协议制定的选项。
log：记录有关数据报进入访问列表的信息。

（3）命名控制列表就是给控制列表取个名字，而不是像上面所述的使用访问控制列表号。通过命令访问控制列表可以很方便的管理ACL规则，可以随便添加和删除规则，而无需删除整个访问控制列表了。

创建命名访问控制列表的语法如下：

Router(config)#ip access-list {standard|extended} access-list-name

下面是命令参数的详细说明

standard:创建标准的命名访问控制列表。

extended:创建扩展的命名访问控制列表。

access-list-name:命名控制列表的名字，可以是任意字母和数字的组合。

标准命名ACL语法如下：

Router(config-std-nacl)#[Sequence-Number] {permit|deny} source [souce-wildcard]

扩展命名ACL语法如下：

Router(config-ext-nacl)#[Sequence-Number] {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]

无论是配置标准命名ACL语句还是配置扩展命名ACL语句，都有一个可选参数Sequence-Number。Sequence-Number参数表明了配置的ACL语句在命令ACL中所处的位置，默认情况下，第一条为10，第二条为20，以此类推。Sequence-Number可以很方便地将新添加的ACL语句插于到原有的ACL列表的指定位置，如果不选择Sequence-Number，默认添加到ACL列表末尾并且序列号加10。

删去以创建的命名ACL语法如下：

Router(config)#no ip access-list {standard|extended} access-list-name

如果要删除某一ACL语句，可以使用“no Sequence-Number”或“no ACL”语句两种方式。

列如：将一条新添加的ACL加入到原有标准命名ACL的序列15的位置。内容为允许主机192.168.1.1/24访问Internet。

Router(config)#ip access-list standard test1（test1为自己之前命名的）

Router(config-std-nacl)#15 permit host 192.168.1.1

列如：创建扩展命名ACL，内容为拒绝192.168.1.0/24访问FTP服务器192.168.2.200/24，允许其他主机。

Router(config)#ip access-list extended test2

Router(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.200 eq 21

Router(config-ext-nacl)#permit ip any any

将命名ACL应用于接口语法如下：

Router(config-if)#ip access-group aaccess-list-name {in|out}

取消命名ACL的应用语法如下：

Router(config-if)#no ip access-group aaccess-list-name {in|out}

acl应用在端口命令：

ip access-group access-list-number {in | out}

参考资料:https://baike.baidu.com/item/ACL/362453
http://blog.csdn.net/u012953265/article/details/38292597

（2） 扩展ACL（表号取值范围100-199）

第一步：定义访问控制列表

命令格式：access-list access-list-number { permit |deny } protocol {source source-wildcard destination destination-wildcard} [operator operan]

第二步：应用到某一个接口上

命令格式：{ protocol } access-group access-list-number {in | out}

例如：

！定义访问控制列表

router(config)# access-list 101 permit tcp 192.168.1.00.0.0.255 192.168.2.0 0.0.0.255 eq 80

！删除访问控制列表（这里无法删除某一条ACL语句，只能删除整个ACL表）

router(config)# no access-list 101

例如：

router(config)# int f0/0

router(config-if)ip access-group 101 out

实验实例：
拓扑图如下（需求在图中）：

linux安装软件包
vsftpd服务为其他服务
httpd服务为web服务


安装过软件包，将动态改为静态IP并启动服务
（systemctl restart network 重动IP服务）

systemctl stop firewalld.service 关闭防火墙
setenforce 0 关闭增强性功能
将this is test写入web服务网页
ftp共享文件写入文件ftp_test.txt

将模式改为仅主机模式WMnet2

将win10和server2016分别配置需要的IP
模式也改为仅主机模式，分别为VMnet1和VMnet3


拓扑图中R1配置：
配置接口IP

所有的主机关闭防火墙

测试互通：



配置扩展ACL：
access-list 100 permit tcp host 192.168.1.10 host 192.168.100.100 eq www //win10允许访问linuxweb服务
access-list 100 deny ip host 192.168.1.10 host 192.168.100.100 //禁止访问ftp（其他）服务
access-list 100 permit ip host 192.168.1.10 192.168.2.0 0.0.0.255 //允许访问server2016主机

win10ping不通linux
能ping通server 2016
需求完成

配置扩展 ACL

地址表

设备	接口	IP 地址	子网掩码
R1	S0/0/0	10.1.1.1	255.255.255.252
	Fa0/0	192.168.10.1	255.255.255.0
	Fa0/1	192.168.11.1	255.255.255.0
R2	S0/0/0	10.1.1.2	255.255.255.252
	S0/0/1	10.2.2.2	255.255.255.252
	S0/1/0	209.165.200.225	255.255.255.224
	Fa0/0	192.168.20.1	255.255.255.0
R3	S0/0/1	10.2.2.1	255.255.255.252
	Fa0/0	192.168.30.1	255.255.255.0
ISP	S0/0/1	209.165.200.226	255.255.255.224
	Fa0/0	209.165.201.1	255.255.255.224
	Fa0/1	209.165.202.129	255.255.255.224
PC1	网卡	192.168.10.10	255.255.255.0
PC2	网卡	192.168.11.10	255.255.255.0
PC3	网卡	192.168.30.10	255.255.255.0
PC4	网卡	192.168.30.128	255.255.255.0
WEB/TFTP Server	网卡	192.168.20.254	255.255.255.0
WEB Server	网卡	209.165.201.30	255.255.255.224
Outside Host	网卡	209.165.202.158	255.255.255.224

学习目标

• 检查当前的网络配置
• 评估网络策略并规划 ACL 实施
• 配置采用数字编号的扩展 ACL
• 配置命名扩展 ACL

简介

扩展 ACL 是一种路由器配置脚本，根据源地址、目的地址，以及协议或端口来控制路由器应该允许还是应该拒绝数据包。扩展 ACL 比标准 ACL 更加灵活而且精度更高。本练习的主要内容是定义过滤标准、配置扩展 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置，包括 IP 地址和 EIGRP 路由。用户执行口令是 cisco，特权执行口令是 class。

 

任务 1：检查当前的网络配置

步骤 1. 查看路由器的运行配置。

逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。请注意，接口和路由已配置完整。将 IP 地址配置与上面的地址表相比较。此时，路由器上应该尚未配置任何 ACL。

本练习不需要配置 ISP 路由器。假设 ISP 路由器不属于您的管理范畴，而是由 ISP 管理员配置和维护。

步骤 2. 确认所有设备均可访问所有其它位置。

将任何 ACL 应用于网络中之前，都必须确认网络完全连通。如果应用 ACL 之前不测试网络连通性，排查故障会非常困难。

要确保整个网络连通，请在不同的网络设备之间使用 ping 命令和tracert 命令检验连接。

任务 2：评估网络策略并规划 ACL 实施

步骤 1. 评估 R1 LAN 的策略。

• 对于 192.168.10.0/24 网络，阻止 telnet 访问所有位置，并且阻止通过 TFTP 访问地址为 192.168.20.254 的企业 Web/TFTP Server。允许所有其它访问。
• 对于 192.168.11.0/24 网络，允许通过 TFTP 和 Web 访问地址为 192.168.20.254 的企业 Web/TFTP Server。阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。允许所有其它访问。

步骤 2. 为 R1 LAN 规划 ACL 实施。

• 用两个 ACL 可完全实施 R1 LAN 的安全策略。
• 第一个 ACL 支持策略的第一部分，配置在 R1 上并应用于 Fast Ethernet 0/0 接口的入站流量。
• 第二个 ACL 支持策略的第二部分，配置在 R1 上并应用于 Fast Ethernet 0/1 接口的入站流量。

步骤 3. 评估 R3 LAN 的策略。

• 阻止 192.168.30.0/24 网络的所有 IP 地址访问 192.168.20.0/24 网络的所有 IP 地址。
• 允许 192.168.30.0/24 的前一半地址访问所有其它目的地址。
• 允许 192.168.30.0/24 的后一半地址访问 192.168.10.0/24 网络和 192.168.11.0/24 网络。
• 允许 192.168.30.0/24 的后一半地址通过 Web 访问和 ICMP 访问所有其余目的地址。
• 隐含拒绝所有其它访问。

步骤 4. 为 R3 LAN 规划 ACL 实施。

本步骤需要在 R3 上配置一个 ACL 并应用于 FastEthernet 0/0 接口的入站流量。

步骤 5. 评估通过 ISP 进入的 Internet 流量的策略。

• 仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。
• 仅允许已建立 TCP 会话进入。
• 仅允许 ping 应答通过 R2。

步骤 6. 为通过 ISP 进入的 Internet 流量规划 ACL 实施。

本步骤需要在 R2 上配置一个 ACL 并应用于 Serial 0/1/0 接口的入站流量。

任务 3：配置采用数字编号的扩展 ACL

步骤 1. 确定通配符掩码。

在 R1 上实施访问控制策略需要两个 ACL。这两个 ACL 将用于拒绝整个 C 类网络。您需要配置一个通配符掩码，匹配这些 C 类网络中每个网络的所有主机。

例如，要匹配整个 192.168.10.0/24 子网，通配符掩码就应为 0.0.0.255。此掩码可以理解为“检查、检查、检查、忽略”，实质上能匹配整个 192.168.10.0/24 网络。

步骤 2. 为 R1 配置第一个扩展 ACL。

在全局配置模式下，使用编号 110 配置第一个 ACL。首先需要阻止 192.168.10.0/24 网络中的所有 IP 地址 telnet 至任何位置。

编写语句时，请确定您目前处于全局配置模式下。

R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet

接下来要阻止 192.168.10.0/24 网络中的所有 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp

最后要允许所有其它流量。

R1(config)#access-list 110 permit ip any any

步骤 3. 为 R1 配置第二个扩展 ACL。

用编号 111 配置第二个 ACL。允许 192.168.11.0/24 网络中的任何 IP 地址通过 WWW 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq www

然后，允许 192.168.11.0/24 网络中的任何 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp

阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。

R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp

最后，允许任何其它流量。此语句用于确保不会阻止来自其它网络的流量。

R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp

步骤 4. 检验 ACL 配置。

在 R1 上发出 show access-lists 命令，确认您的配置。输出应类似下例：

R1#show access-lists

正在上传…重新上传取消

步骤 5. 将语句应用到接口。

要将 ACL 应用到某个接口，请进入该接口的接口配置模式。配置ip access-group access-list-number {in | out} 命令，将相应 ACL 应用于该接口

每个 ACL 都用于过滤入站流量。将 ACL 110 应用于 FastEthernet 0/0 接口，ACL 111 应用于 FastEthernet 0/1 接口。

R1(config)#int f0/0

R1(config-if)#ip access-group 110 in

R1(config)#int f0/1

R1(config-if)#ip access-group 111 in

确认这两个 ACL 显示于 R1 的运行配置中而且已应用到正确的接口。

步骤 6. 测试 R1 上配置的 ACL。

配置和应用 ACL 后，必须测试是否能按照预期阻止或允许流量。

• 尝试从 PC1 telnet 访问任何设备。此流量应该阻止。
• 尝试从 PC1 通过 HTTP 访问企业 Web/TFTP Server。此流量应该允许。
• 尝试从 PC2 通过 HTTP 访问 Web/TFTP Server。此流量应该允许。
• 尝试从 PC2 通过 HTTP 访问外部 Web Server。此流量应该允许。

根据您掌握的 ACL 知识，尝试从 PC1 和 PC2 执行一些其它的连通性测试。

步骤 7. 检查结果。

Packet Tracer 不支持测试 TFTP 访问，因此您无法检验该策略。不过，完成比例应为 50%。如果并非如此，请单击 Check Results（检查结果）查看尚未完成哪些必要部分。

任务 4：为 R3 配置命名扩展 ACL

步骤 1. 确定通配符掩码

192.168.30.0/24 网络中前一半 IP 地址的访问策略有如下要求：

• 拒绝其访问 192.168.20.0/24 网络
• 允许其访问所有其它目的地址

对 192.168.30.0/24 网络中的后一半 IP 地址有如下限制：

• 允许其访问 192.168.10.0 和 192.168.11.0
• 拒绝其访问 192.168.20.0
• 允许其对所有其它位置的 Web 访问和 ICMP 访问

要确定通配符掩码，应考虑 ACL 在匹配 IP 地址 0–127（前一半）或 128–255（后一半）时需要检查哪些位。

我们学过，确定通配符掩码的方法之一是从 255.255.255.255 中减去标准网络掩码。对 C 类地址而言，IP 地址 0–127 和 128–255 的标准掩码是 255.255.255.128。用减法可得出正确的通配符掩码：

   255.255.255.255

 – 255.255.255.128

------------------

     0.  0.  0.127

步骤 2. 在 R3 上配置扩展 ACL。

在 R3 上，进入全局配置模式并以 130 作为访问列表编号配置 ACL。

第一条语句用于阻止 192.168.30.0/24 访问 192.168.20.0/24 网络中的所有地址。

R3(config)#access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

第二条语句用于允许 192.168.30.0/24 网络的前一半地址访问任何其它目的地址。

R3(config)#access-list 130 permit ip 192.168.30.0 0.0.0.127 any

其余的语句则明确允许 192.168.30.0/24 网络的后一半地址访问网络策略允许的网络和服务。

R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.10.0 0.0.0.255

R3(config)#access-list 130 permit ip 192.168.30.128 0.0.0.127 192.168.11.0 0.0.0.255

R3(config)#access-list 130 permit tcp 192.168.30.128 0.0.0.127 any eq www

R3(config)#access-list 130 permit icmp 192.168.30.128 0.0.0.127 any

R3(config)#access-list 130 deny ip any any

步骤 3. 将语句应用到接口。

要将 ACL 应用到某个接口，请进入该接口的接口配置模式。配置ip access-group access-list-number {in | out} 命令，将相应 ACL 应用于该接口。

R3(config)#interface fa0/0

R3(config-if)#ip access-group 130 in

步骤 4. 检验和测试 ACL。

配置和应用 ACL 后，必须测试是否能按照预期阻止或允许流量。

• 从 PC3 ping Web/TFTP Server。此流量应该阻止。
• 从 PC3 ping 任何其它设备。此流量应该允许。
• 从 PC4 ping Web/TFTP Server。此流量应该阻止。
• 从 PC4 通过 192.168.10.1 或 192.168.11.1 接口 telnet 至 R1。此流量应该允许。
• 从 PC4 ping PC1 和 PC2。此流量应该允许。
• 从 PC4 通过 10.2.2.2 接口 telnet 至 R2。此流量应该阻止。

经过测试并得出正确结果后，在 R3 上使用 show access-lists 特权执行命令检查 ACL 语句是否存在匹配。

根据您掌握的 ACL 知识执行其它测试，检查每条语句匹配的流量是否正确。

步骤 5. 检查结果。

完成比例应为 75%。如果并非如此，请单击 Check Results（检查结果）查看尚未完成哪些必要部分。

任务 5：配置命名扩展 ACL

步骤 1. 在 R2 上配置命名扩展 ACL。

前面讲过，R2 上配置的策略将用于过滤 Internet 流量。由于 R2 连接到 ISP ，因此它是配置 ACL 的最佳位置

在 R2 上使用 ip access-list extendedname 命令配置名为 FIREWALL 的命名 ACL。此命令使路由器进入扩展命名 ACL 配置模式。请留意路由器提示符已更改。

R2(config)#ip access-list extended FIREWALL

R2(config-ext-nacl)#

在 ACL 配置模式下添加语句，按照策略中所述的要求过滤流量：

• 仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。
• 仅允许已建立 TCP 会话进入。
• 允许 ping 应答通过 R2

R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www

R2(config-ext-nacl)#permit tcp any any established

R2(config-ext-nacl)#permit icmp any any echo-reply

R2(config-ext-nacl)#deny ip any any

在 R2 上配置了 ACL 后，使用 show access-lists 命令确认该 ACL 语句正确。

步骤 2. 将 ACL 应用到接口。

使用 ip access-group name {in | out} 命令，将 ACL 应用于 ISP 的入站流量，面向 R2 的接口。

R3(config)#interface s0/1/0

R2(config-if)#ip access-group FIREWALL in

步骤 3. 检验和测试 ACL。

执行下列测试，确保 ACL 能达到预期效果：

• 从 Outside Host 打开内部 Web/TFTP Server中的网页。此流量应该允许。
• 从 Outside Host ping 内部 Web/TFTP Server。此流量应该阻止。
• 从 Outside Host ping PC1。此流量应该阻止。
• 从 PC1 ping 地址为 209.165.201.30 的外部 Web Server。此流量应该允许。
• 从 PC1 打开外部 Web Server 中的网页。此流量应该允许。

经过测试并得出正确结果后，在 R2 上使用 show access-lists 特权执行命令检查 ACL 语句是否存在匹配。

根据您掌握的 ACL 知识执行其它测试，检查每条语句匹配的流量是否正确。

步骤 4. 检查结果。

完成比例应为 100%。如果并非如此，请单击 Check Results（检查结果）查看尚未完成哪些必要部分。