把握ACL配置的7个关键点.doc

把握ACL配置的7个关键点 在路由器或三层交换机上，可以通过使用访问控制列表（ACL，Access Control List）来执行数据包过滤。访问控制列表可以用来控制网络上数据包的传递、现在虚拟终端的通信量或者控制路由选择跟新，现在网络访问特定的用户和设备。细节决定成败，我们在配置访问控制列表时往往因忽视一些细节，导致访问控制列表不起作用。为充分发挥访问控制列表的强大功能，提高运行效率，在配置过程中应着重把握以下几个关键点。关键点1：标准访问控制列表要应用在靠近目标端 标准的访问控制列表只能针对源地址进行控制，提供基本的过滤功能，用199的数值来作为列表的标识。配置标准访问控制列表分为两个步骤，第一步是创建列表，第二步是应用列表。但在配置过程中要弄清楚以下几点：是要确定访问控制列表用在哪台设备上：是要确定访问控制列表用在哪个接口上：是要确定访问控制列表用在哪个方向上（是Out还是In）：是列表中的语句匹配顺序是从上而下：是要将访问控制列表用在靠近目标端的地方。 如图1所示，我们配置标准访问控制列表的要求是，不允许Router1访问Router3。首先进行分析：把Router1作为源地址，Router3作为目标地址，数据流的方向就是从左到右，从Router1到Router3，数据流共经过了4个接口，在4个接口上都可以配置访问控制列表，但所起的作用是不一样的。图1标准访问控制 第一种情况：如果把访问控制列表用在Router1的S1/1端口，方向应该是Out，结果将不起作用。原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不进行过滤。 第二种情况：如果用在Router2的S1/0端口，方向应该是In，结果其作用。Router1不能访问Router3了，可Router1也不能访问Router2了，因为标准访问控制列表只能针对源地址，当Router1访问Router2的数据包进入路由器Router2的S1/0端口时，源地址不符合，数据包被丢弃。 第三种情况：如果用Router2的S1/1端口，方向应该是Out，结果正确。 第四种情况：如果用在Router3的S1/1端口，方向应该是In，结果正确。配置如下。(1)在路由器上创建列表。Router3（config）#access-list 1 deny 36.136.1.1 /*拒绝Router1的IP地址36.136.1.1，通配符掩码0.0.0.0可以省略*/Router3（config）#access-list 1 permit any /*允许所有的IP地址，这一行不能省略，因为访问控制列表最后隐含了一条deny any的规则，如果没有这一行，所有的IP地址都将被拒绝，上面两行的顺序不能颠倒，因为匹配的顺序是从上而下的*/在路由器的接口上应用列表。Router3（config）#int s1/1Router3（config）#ip access-group 1 in /*在接口下调用访问控制列表1，针对的是从S1/1端口进入路由器Router3的流量*/ 两个步骤的炒作顺序没有关系，但两者缺一不可，创建列表没有在接口下调用，或者在接口下调用一个没有被创建的列表，都不会起作用。 以上几种情况可以得出，符合要求的应用应该在Router3的S1/1端口上进行配置，为避免出现错误，标准访问列表要应用在靠近目标端。关键点2：扩展访问控制列表要应用在靠近源端 扩展访问控制列表功能更强大，同时使用源地址和目标地址作为过滤条件，运行使用协议类型、端口号、时间范围来过滤，可以更加精细地控制通信量。用100-199的数值来作为列表的标识。 如图1所示，我们配置扩展访问控制列表的要求是，不允许Router1去往Router3的Telnet通信。配置方法和步骤与标准访问控制列表相似。与标准访问控制列表一样，也有4个接口可供选择，关键是应用在哪个接口比较合适。 第一种情况，如果用在Router1的S1/1端口，方向是Out，结果是不起作用。原因是访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不作过滤。 第二种情况，如果用在Router2的S1/0端口，方向是in。结果正确。配置步骤如下在路由器上创建访问控制列表。Router2（config）#access-list 100 deny tcp host 36.136.1.1 host 46.136.1.2 eq Telnet/*因只拒绝Telnet流量，Telnet流量使用的是TCP，目标端口是23，所有这里拒绝的协议是TCP，源地址是Router1，目标地址是Router3，端口是23*/Router2（config）#access-list 100 permit ip any any /*默认情况下是拒绝所有的，这条命令的作用是允许其他所有的IP流量通过*/在路由器的接口上应用列表。创建好列表以后，要将它应用每个想用的接口上，因只想拒绝Router1访问Router3的Telnet流量，其他的访问不受影响，可以把列表用在Router2的S1/0端口，当数据包进入Router2的时候进行判断。Router2（config）#int S1/0Router2（config）#ip access-group 100 in /*在接口调用访问控制列表100，针对的是从S1/0端口进入Router2的流量*/第三种情况，如果用在Router2的S1/1端口，方向是Out，结果正确。第四种情况，如果用在Router3的S1/1端口，方向是In，结果正确。 既然后3种情况都可以实现配置要求，那么选哪一种最合适呢？从以上几种情况可以看出，符合要求的应用应该在Router2的S1/0端口上进行配置，既然不允许的数据包早晚都会被丢弃，晚丢不如早丢，早丢弃还可以节省中间链路的带宽。由于扩展访问控制列表中可以写明源地址和目标地址，不会像标准访问控制列表中可以写明源地址和目标地址，不会像标准访问控制列表一样带来错误，扩展的访问控制列表要应用在靠近源端的地方。关键点之3：访问控制列表只对穿越路由器的流量起作用 访问控制列表仅对穿越路由器的数据包进行过滤，对本路由器发起的数据包不做过滤，这在上述标准访问控制列表和扩展访问控制列表的配置中已进行了分析，在此不再描述。关键点之4：创建访问控制列表语句的前后顺序不能颠倒 创建列表时语句的前后顺序不能颠倒，因为列表的匹配顺序是从上往下的，最有限制性的语句应该放在首行，如果找到一条匹配，就执行操作并不再往下继续查找。如果两条语句放在前或后都不影响结果，一般把使用较多的那条放在前面，这样可以减少路由器的查找时间，提高路由器的工作效率。关键点之5：访问控制列表的最后一句隐含的是拒绝所有在访问控制列表里最后一句隐含的是“全部拒绝”，因此在列表至少要有一条“允许”语句，否则列表将自动设成禁止所有通信量。关键点之6：删除访问控制列表时一次性删除整个列表 访问控制列表建立后，任何在列表中增加的语句都被放在表的末端，用户不能有选择地增加或删除语句。只能一次性删除整个访问控制列表，命令是No access-list access-list-number-显然，当访问控制列表很大时，维护是十分麻烦的。我们可以将表的内容剪切，然后粘贴成文本文档来编辑，命名访问列表和扩展访问控制列表的增强编辑功能可用于克服这一缺点。关键点之7：一个访问控制列表可用于不同的端口 一个访问控制列表可用于同一个路由器（三层交