ACL 访问控制列表

访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全

简介

访问控制列表（Access Control Lists，ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

访问控制列表具有许多作用，如限制网络流量、提高网络性能；通信流量的控制，例如ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量；提供网络安全访问的基本手段；在路由器端口处决定哪种类型的通信流量被转发或被阻塞，例如，用户可以允许E-mail通信流量被路由，拒绝所有的 Telnet通信流量等。

访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。

功能

1）限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定这种类型的数据包具有更高的优先级，同等情况下可预先被网络设备处理。

2）提供对通信流量的控制手段。

3）提供网络访问的基本安全手段。

4）在网络设备接口处，决定哪种类型的通信流量被转发、哪种类型的通信流量被阻塞。

例如，用户可以允许E- mail通信流量被路由，拒绝所有的Telnet通信流量。例如，某部门要求只能使用WWW这个功能，就可以通过ACL实现；又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

工作原理

①当一个数据报进入一个端口，路由器检查这个数据报是否可路由。

如果是可以路由的，路由器检查这个端口是否有ACL控制进入数据报。

如果有，根据ACL中的条件指令，检查这个数据报。

如果数据报是被允许的，就查询路由表，决定数据报的目标端口。

②路由器检查目标端口是否存在ACL控制流出的数据报。

若不存在，这个数据报就直接发送到目标端口。

若存在，就再根据ACL进行取舍。然后在转发到目的端口。

总之，一入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发（如果无，则丢弃该数据包），数据进入该接口的访问控制列表（如果无访问控制规则，直接转发），然后按条件进行筛选。

当ACL处理数据包时，一旦数据包与某条ACL语句匹配，则会跳过列表中剩余的其他语句，根据该条匹配的语句内容决定允许或者拒绝该数据包。如果数据包内容与ACL语句不匹配，那么将依次使用ACL列表中的下一条语句测试数据包。该匹配过程会一直继续，直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。此时路由器不会让这些数据进入或送出接口，而是直接丢弃。最后这条语句通常称为隐式的“deny any”语句。由于该语句的存在，所以在ACL中应该至少包含一条permit语句，否则，默认情况下，ACL将阻止所有流量。

访问控制列表的使用

ACL的使用分为两步：

(1)创建访问控制列表ACL，根据实际需要设置对应的条件项；

(2)将ACL应用到路由器指定接口的指定方向(in/out)上。

在ACL的配置与使用中需要注意以下事项：

(1)ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。

(2)当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。

(3)每个接口在每个方向上，只能应用一个ACL。

(4)标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。

应用

ACL可以应用于多种场合，其中最为常见的应用情形如下：

1、过滤邻居设备间传递的路由信息。

2、控制交换访问，以此阻止非法访问设备的行为，如对 Console接口、 Telnet或SSH访问实施控制。

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器，如HTP、SNMP和NIP等。

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用，如TCP拦截和IOS防火墙。

设备编制方案：

设备名称	设备接口	IP地址/子网掩码	默认网关
PC1	e0	10.1.1.1/24	10.1.1.3
PC2	e0	10.1.1.2/24	10.1.1.3
PC3	e0	50.1.1.1/24	50.1.1.3
PC4	e0	50.1.1.2/24	50.1.1.3
PC5	e0	40.1.1.1/24	40.1.1.3
PC6	e0	40.1.1.2/24	40.1.1.3
SW1	——	——	——
SW2	——	——	——
SW3	——	——	——
R1	f0/0	10.1.1.3/24	——
R1	f0/1	20.1.1.1/24	——
R2	f0/0	20.1.1.2/24	——
	f0/1	30.1.1.1/24
	f1/0	50.1.1.3/24
R3	f0/0	30.1.1.2/24	——
R3	f0/1	40.1.1.3/24	——

设备拓扑图如下：

设备基础配置命令：

PC1

PC2

PC3

PC4

PC5

PC6

配置动态路由使得全网互通

验证10网段与40网段和50网段的连通性

验证50网段与10网段和40网段的连通性

验证40网段与10 网段和50网段的连通性

ACL配置实验要求：

要求10网段禁止访问整个50网段，访问其他不受限制！

用10网段ip ping 50网段ip，10网段地址ping40网段地址验证

要求40.1.1.1PC禁止访问50网段，其它访问均不受影响

用40.1.1.1PC机访问50网段主机，10网段主机验证验证

要求10.1.1.1禁止访问40网段，其他不受影响！

用10.1.1.1 PC机ping 40网段主机、50网段主机验证

同10网段的PC2 可以连通其他网段主机

总结：

ACL是一组规则的集合，应用在路由器的某个接口上。

ACL的两个方向：

出（out），已经进过路由器出来，正离开路由器接口的数据包

入（in），已到达路由器接口的数据包，将被路由器处理。

ACL,检查如果不匹配将继续往下检查，如果有任何一条匹配路由器将允许该数据包

通过不在检查，如果没有任何一条匹配则丢弃。要注意ACL的顺序。