控制访问列表（ACCESSLIST）

会计考友

大家今天介绍一下访问控制列表，那为什么要用访问控制列表呢？比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想……
    老师说挺好用的我在这和大家分享一下，废话少说，我们开始，先来介绍一下ACL。
    那使用ACL的目的是什么呢？在性能和安全上介绍一下：
    ?性能
    对网络设计中特定的用户进行控制
$ @4 K, s& N: I% I2 G7 n" X( B    拒绝网络之间进行访问
0 l9 ?$ U; ]( M/ W    管理网络中逐步增长的 IP 数据
' D" l# E8 t; m; z3 [2 C. q: L    ?安全
- ]+ C1 ?" }) G    可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源
    当数据通过路由器时进行过滤
    控制访问列表有两种：标准的控制访问列表和扩展的控制访问列表。
: H; |% {- ^$ m: B9 L  ^$ }* I8 v    ?标准
7 w3 @! ^# R. S+ W    检查源地址
    通常允许、拒绝的是完整的协议
    能够对源地址进行过滤，是一种简单，直接的数据控制手段
    ?扩展
    检查源地址和目的地址
    通常允许、拒绝的是某个特定的协议
    除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂
    控制访问列表的一般用法：
0 f) g5 }2 `3 a3 l+ j    ?限制对网络的FTP访问
    ?禁止一个子网到另一个子网的访问
6 H& [+ F0 E; Y    ?允许规定主机Telnet访问路由器
$ H3 X9 H; A$ z1 F    如：不允许指定的主机TELNET访问
    访问列表的配置指南：
) C8 u7 n: `& \    ?访问列表的编号指明了使用何种协议的访问列表
, A/ _" \1 P. \. C1 n- [; A+ c    ?每个端口、每个方向、每条协议只能对应于一条访问列表
; v: c( E/ X3 z$ a4 p    ?访问列表的内容决定了数据的控制顺序
    ?具有严格限制条件的语句应放在访问列表所有语句的最上面
    ?在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句
/ @8 q, |" ~0 W$ M7 w  ^) G( `    ?先创建访问列表，然后应用到端口上
& T, V* [# {. n* f4 _) k0 T0 ]' y    ?访问列表不能过滤由路由器自己产生的数据
5 y9 F4 V9 N$ q2 \1 p6 e' Z    标准访问列表的一般配置举例：
    Router#
    Router#configure terminal
$ ~* |  I! i) p9 d1 l. [6 |+ v    Router（config）#
6 H% \! h  F8 y6 z" a    Router（config）#access-list 1 permit 172.16.2.0 0.0.0.255
    配置的访问列表是允许来自网络172.16.2.0的流量
8 l' A0 ~4 ^9 U    ?Router#configure terminal
6 T- N3 Z+ M* K- V    ?Router（config）#
    ?Router（config）#access-list 2 deny 172.16.3.0 0.0.0.255
- `, K9 M  ]9 K" D$ ?    ?Router（config）#access-list 2 permit any
    ?Router（config）#int s0
    ?Router（config-if）#ip access-group 2 out
' }2 u# Z* g" U2 J1 y    ?Router（config-if）#
    禁止来自网络172.16.3.0的流量！！！
" ], s" N; l9 ~2 R    扩展访问列表的一般配置举例：
7 F! \6 R& |6 p) B" C4 e, p. V& L, R# {    access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
0 Z2 `0 D$ f, `6 H9 ]- ]+ x& y    access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
    access-list 101 permit ip any any
    （implicit deny all）
    （access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255）
5 N8 |: p3 Z' A% _7 e    ?拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0
: R/ G( N7 {( j9 d- |" g* N) z    ?允许其它数据
    access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
0 t% P+ O2 b. n# [    access-list 101 permit ip any any
    （implicit deny all）
    ?拒绝子网 172.16.4.0 内的主机使用路由器的端口建立Telnet会话
4 ]( p% K" S0 J    ?允许其它数据
( n* w) I4 K1 P7 P0 ~  u& O1 j5 G4 P    我们来比较一下标准的和扩展的异同：
    标准：
    基于源地址
    允许和拒绝完整的
    TCP/IP协议
    编号范围 1-99和1300-1999
7 v$ [6 ~& q, p, Z3 K! c5 L    扩展：
    基于源地址和目标地址
    指定TCP/IP的特定协议
    和端口号
    编号范围 100-199和2000-2699
    我们指定特定的主机时一般用通配符掩码指明，下面我举几个例子：
    例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host （host 172.30.16.29）
    所有主机： 0.0.0.0 255.255.255.255 可以用 any 简写
    好了我们来做一个扩展访问列表的实验来验证并巩固一下我们今天的学习。
    实验要求：三台路由器，r1 r2 r3 拒绝r3通过r2向r1做telnet
8 L3 `( v& \+ X! e. o5 Q" C0 G' X    实验的大致步骤：
    1、给路由器命名
) W4 v4 S% t; K: M5 G# C1 x    2、开启telnet功能并设置密码
    3、配置ip
    4、配置时钟频率
    5、关闭自动汇总
! J4 y0 D' n5 J* b! |, L    6、配置rip用版本2，实现基本的通信
    7、r2上配置访问控制列表
) i# Y% V4 G1 w( F; o6 M; Z& V/ Q    8、验证：r3 telnet r1失败
    实验大致拓扑如图：

会计考友

我们把实验的命令写到文本：
7 j% Y" x. R5 G* j1 I# B5 ]! E2 d7 j1 D    基本配置：
    r1:
    en
    conf t
$ S& j0 H* c: r% Z9 z    host r1
    enable pass cisco
    line vty 0 4
    pass cisco
6 c) ~+ J$ m+ c! [0 B: B5 ^; G2 h    login
5 [) x0 b& O8 I9 V( W6 e: U, S    exit
    int s0/0
    ip addr 192.168.1.1 255.255.255.0
    no shut
2 U7 @) h" K, c) T+ @2 |$ V6 m. i    clock rate 64000
    exit
- S$ P/ s0 d1 o* \% a    router rip
& u- G0 f3 |. `$ {& b) j% s    ver 2
    no auto-summary
    network 192.168.1.0
    exit
    r2:
    en
    conf t
    host r2
0 I+ x* a6 ~, _* ~. B. ~5 ^% {    enable pass cisco
    line vty 0 4
    pass cisco
    login
5 j5 Q9 f  f  c0 o4 \    exit
6 q% n+ Q* I. F4 s- y3 j    int s0/0
/ u( e+ p5 h7 v8 f. I    ip addr 192.168.1.2 255.255.255.0
    no shut
    int s0/1
    ip addr 192.168.2.1 255.255.255.0
* e' i8 y$ Q& ]: @; _    no shut
% m9 W' k% J9 h* Z    clock rate 64000
    exit
% I) b' ]6 ^8 G& G2 y; K    router rip
    ver 2
" [* M8 \, U/ e+ M# W  H    no auto-summary
5 N" i7 h: z# a; D0 \    network 192.168.1.0
    network 192.168.2.0
& |6 T; m, Q" Z! q    exit
) F" p( a9 K! l3 S, D* F. Y4 ^0 o    r3:
    en
    conf t
    host r3
    enable pass cisco
% L! ~1 z3 x7 v2 a+ J* k! j5 E    line vty 0 4
( e* P2 y9 K5 H1 i, l1 U    pass cisco
2 N* L; G0 M+ z    login
    exit
. V- g9 Z# V" K1 E5 {5 U+ k    int s0/1
    ip addr 192.168.2.2 255.255.255.0
    no shut
1 c. Z& B8 h; P( O" G    exit
( c* J2 k. J8 {; @: A2 P    router rip
    ver 2
) ^2 P9 ~6 H1 P- u- Q. s    no auto-summary
& L1 \1 B8 J; [9 z; ~0 ^) J$ O- y5 ]    network 192.168.2.0
    exit
    在ｒ２上配置拒绝telnet：
    conf t
* X% B( i  D) C. A2 f3 r1 T    access-list 101 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq telnet
0 _. g+ h2 ~, g: [# ?    access-list 101 permit ip any any
    int s0/1
    ip access-group 100 out
6 I/ W& Q+ ~3 H5 t. q+ V0 \5 n$ u3 }    exit
    access-list 102 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq ftp
4 Y: p6 G$ \% Z    access-list 102 permit ip any any
    int s0/1
    ip access-group 100 out
  l. k' f0 X0 t* _7 B7 H    exit
    access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo
( V7 \. m. k- y$ i  {    access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo-reply
    access-list 103 permit ip any any
    int s0/0
    ip access-group 101 out
    写完了以后我们开始粘贴。
* |! A8 O8 r. ]  b$ f
! _- D7 ]* H# {' a. T. m" C    粘贴完并没有错误，我们先不添加访问控制列表看能否telnet
7 I! ]7 v: B( r3 \+ m" r    没有问题可以telnet并打开了
+ r/ ?) \7 h2 m5 y9 m! R7 `! H
    我们来添加访问列表

  D* J$ j. \. j& B) b    在来telnet 如果失败了，我们就成功了。