思科Cisco路由器的ACL控制列表设置

1、首先在电脑上点击打开Cisco软件。准备两个PC，一个server和三个路由器，并连接。

2、然后在点击电脑的Destop窗口，配置PC和server的IP地址和网关。

3、然后在三个路由器的CLI窗口，配置路由器的IP地址。

4、然后根据路由器的端口和线路方向，用ip route命令配置路由器的下一跳。

5、然后点击进入到PC和server的run窗口，用ping命令检查PC和server的连通性，要保证连通成功。

6、然后进入到server中进行ACL查询。

7、再进入到连接路由器的端口，配置ACL。测试效果就是不能连通server，说明ACL的配置成功。

常见的ACL *** 作1删除生效时间段：需要先删除关联生效时间段的ACL规则或者整个ACL[HUAWEI] acl 2001[HUAWEI-acl-basic-2001] undo rule 5 //先删除rule[HUAWEI] undo time-range time1 //在删除时间段[HUAWEI] undo acl 2001 //先删除ACL[HUAWEI] undo time-range time1 //在删除时间段

配置基于时间的ACL规则[HUAWEI] time-range working-time 8:00 to 18:00 working-day[HUAWEI]acl name work-acl basic[HUAWEI-acl-basic-work-acl]rule deny source 19216810 000255 time-range working-time 配置基于源IP地址（主机地址）过滤报文的规则[HUAWEI] acl 2001[HUAWEI-acl-basic-2001]rule permit source 19216813 0 配置基于源IP地址（网段地址）过滤报文的规则[HUAWEI] acl 2001[HUAWEI-acl-basic-2001]rule permit source 19216813 0[HUAWEI-acl-basic-2001]rule deny source 19216810 000255[HUAWEI-acl-basic-2001]description Permit only 19216813 through 配置基于IP分片信息、源IP地址（网段地址）过滤报文的规则[HUAWEI] acl 2001[HUAWEI-acl-basic-2001]rule deny source 19216810 000255 fragment 配置基于ICMP协议类型、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则[HUAWEI] acl 3001[HUAWEI-acl-adv-3001] rule permit icmp source 19216813 0 destination 19216820 000255 配置基于TCP协议类型、TCP目的端口号、源IP地址（主机地址）和目的IP地址（网段地址）过滤报文的规则[HUAWEI] acl name deny-telnet[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 19216813 0 destination 19216820 000255[HUAWEI] acl name no-web[HUAWEI-acl-adv-no-web] description Web access restrictions[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 19216813 0[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 19216814 0 配置基于TCP协议类型、源IP地址（网段地址）和TCP标志信息过滤报文的规则（1）先配置两条permit规则，允许19216820/24网段的ACK=1或RST=1的报文通过，再配置一条deny规则，拒绝该网段的其他TCP报文通过[HUAWEI] acl 3002[HUAWEI-acl-adv-3002]rule permit tcp source 19216820 000255 tcp-flag ack[HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through[HUAWEI-acl-adv-3002]rule permit tcp source 19216820 000255 tcp-flag rst[HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through[HUAWEI-acl-adv-3002] rule deny tcp source 19216820 000255[HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through（2）通过配置established参数，允许19216820/24网段的ACK=1或RST=1的报文通过，再配置一条deny规则，拒绝该网段的其他TCP报文通过。[HUAWEI] acl 3002[HUAWEI-acl-adv-3002]rule permit tcp source 19216820 000255 tcp-flag established[HUAWEI-acl-adv-3002]rule 5 description Allow the Established TCP packets through[HUAWEI-acl-adv-3002] rule deny tcp source 19216820 000255[HUAWEI-acl-adv-3002] rule 10 description Do not Allow the other TCP packet through 配置基于源MAC地址（单个MAC地址）、目的MAC地址（单个MAC地址）和二层协议类型过滤报文的规则[HUAWEI] acl 4001[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806 //允许目的MAC地址是0000-0000-0001、源MAC地址是0000-0000-0002的ARP报文（二层协议类型值为0x0806）通过[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863 //绝PPPoE报文（二层协议类型值为0x8863）通过 配置基于源MAC地址（MAC地址段）和内层VLAN过滤报文的规则[HUAWEI] acl name deny-vlan10-mac link[HUAWEI-acl-L2-deny-vlan10-mac]rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000 配置基于报文的二层头、偏移位置、字符串掩码和用户自定义字符串过滤报文的规则[HUAWEI] acl 5001[HUAWEI-acl-user-5001] rule deny l2-head 0x00000806 0x0000ffff 10 0x0000c0a8 0x0000ffff 26 0x00020000 0xffff0000 30[HUAWEI-acl-user-5001] rule deny l2-head 0x00000806 0x0000ffff 10 0x0000c0a8 0x0000ffff 26 0x00020000 0xffff0000 30拒绝源IP地址为19216802的ARP报文通过。以下规则中的0x00000806是ARP帧类型，0x0000ffff是字符串掩码，10是设备内部处理不含VLAN信息的ARP报文中的协议类型字段的偏移量，c0a80002是19216802的十六进制形式，26和30分别是设备内部处理不含VLAN信息的ARP报文中源IP地址字段高两个字节和低两个字节的偏移量（ARP报文的源IP地址字段从二层头第28个字节开始占4个字节，受到用户自定义ACL规定二层头偏移位置只能是“4n+2”（n是整数）的限制，因此针对源IP地址，需要拆分成两段进行匹配，即偏移量为4×6+2=26的位置开始往后匹配4个字节的低两个字节以及偏移量为4×7+2=30的位置开始往后匹配4个字节的高两个字节）。如果要对携带VLAN信息的ARP报文进行过滤，则要将以下规则中的三个偏移量值再分别加上4
标签：配置

在acl中默认的最后一条就deny ip any any
并且会按照先后顺序执行，比如你想deny 源是19216811 目的是19216821的主机流量
如果你先写
access-list 100 permit ip any any
再写
access-list 100 deny ip host 19216811 host 19216821
那么这个控制是没有效果的，因为第一条已经放行了所有的流量。acl的查找顺序是从上往下，匹配了就不会再去match下面的rule。
你可以通过show ip access-list 看到匹配项都是 access-list 100 permit ip any any
如果你是用扩展的命名访问控制列表，那么是支持sequence number的
比如：
ip access-list extend cisco
permit ip host 19216811 host 19216821
如果你没有指定sequence ,且这是个新的列表，那么sequences是从10开始计数的

访问控制列表(ACL)是应用在 路由器 接口的指令列表(即规则)。这些指令列表用来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。

出：已经通过路由器的处理，正离开路由器的数据包。

入：已到达路由器接口的数据包。将被路由器处理。

————————————————

1、Access Contral List

2、ACL是一种包过滤技术。

3、ACL基于 IP包头的IP地址 、 四层TCP／UDP头部的端口号; 基于三层和四层过滤

4、ACL在路由器上配置，也可以在防火墙上配置（一般称为策略）

5、ACL主要分为2大类：

标准 ACL
表号是 1-99 特点；

只能基于 源IP地址 对包进行过滤

扩展 ACL
表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

————————————————

ACL原理

1）ACL表必须应用到接口的进或出方向生效

2） 一个接口的一个方向 只能应用一张表

3）进还是出方向应用？取决于流量控制总方向

4）ACL表是严格自上而下检查每一条，所以要注意书写顺序

5）每一条是有条件和动作组成，当流量不满足某条件，则继续检查；当流量完全 满足某条件，不再往后检查 直接执行动作。

6）标准ACL尽量写在靠近目标的地方

————————————————

将ACL应用到接口：

———————

注释：反子网掩码：将正子网掩码0和1倒置

反子网掩码：用来匹配，与0对应的严格匹配，与1对应的忽略匹配。

———————

例如：access-list 1 deny 10111 0255255255

解释：该条目用来拒绝所有源IP为10开头的

access-list 1 deny 10111 0000

简写：access-list 1 deny host 10111

解释：该条目用来拒绝所有源IP为10111的主机

access-list 1 deny 0000 255255255255

简写：access-list 1 deny any

解释：该条目用来拒绝所有人

————————————————

————————————————

1）做流量控制，首先要先判断ACL写的位置（那个路由器？那个接口的哪个方向？）

2）再考虑怎么写ACL

首先要判断最终要 允许所有还是拒绝所有

将 详细的严格的控制 写在最前面

3）一般情况下，标准或扩展ACL一旦编写，无法修改某一条，也无法删除某一条，也无法往中间插入新的条目，只能一直在最后添加新的条目

如想修改插入或删除，只能删除整张表，重新写！

conf t

no access-list 表号
查看ACL表：

show ip access-list [表ID]

————————————————

扩展ACL：

表号：100-199

特点：可以基于源IP、目标IP、端口号、协议对包进行过滤

命令：

acc 100 permint/deny 协议 源IP或源网段 反子网掩码 目标IP 或源网段 反子网掩码 [eq端口号]

注释：协议：tcp/udp/icmp/ip

案例：

acc 100 permit tcp host 10111 host 20113 eq 80

acc 100 deny ip host 10111 20111 000255

————————————————

命名ACL：

作用：可以对标准或扩展ACL进行自定义命名

优点：

自定义命名更容易辨认，也便于记忆！

可以任意修改某一条，或删除某一条，也可以往中间插入某一条

conf t

ip access-list standard/extended 自定义表名

开始从deny或permit编写ACL条目

exit

删除某一条：

ip access-list standard/extended 自定义表名

no 条目ID

exit

插入某一条：

IP access-list standard/extended 自定义表名

条目ID 动作 条件

————————————————

以上是以思科命令为例。

路由器验证接口的ACL应用方法如下：
1、使用show命令查看ACL配置和应用情况。在路由器的命令行界面输入showrunning-config或showaccess-lists命令，可以查看ACL的配置情况。同时，使用showipinterface或showipinterfacebrief命令，可以查看接口的状态和IP地址等信息。通过这些命令可以确定ACL是否正确配置，并且是否应用于指定的接口。
2、使用telnet或ping测试ACL是否生效。可以通过telnet或ping命令测试ACL是否生效。在路由器的命令行界面输入telnet或ping命令，尝试连接或发送数据包到受保护的网络或主机。
3、使用debug命令查看ACL匹配情况。在路由器的命令行界面输入debugippacket命令，可以查看ACL匹配情况。当路由器接收到一个数据包时，会根据ACL规则进行匹配，通过debug命令可以查看该数据包是否匹配成功，并且经过了哪些ACL规则的匹配。

---