1 ACL概述

定义：Access Control List 访问控制列表。访问控制列表(ACL)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。
作用：访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。
是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。
检查对象：三层IP包头（源地址、目标地址等）、四层头部（TCP、UDP端口号）、[5层数据]。
应用场合：路由器和三层交换机、防火墙配置（一般称为策略）。本节内容主要介绍应用于路由器及三层交换机的ACL。

2 ACL分类及原理

2.1 标准ACL

表号范围：1~99。只要将表号设置在这个范围内，就是标准ACL表。
特点：只能基于数据包中的“源IP”对包进行过滤。
配置位置：流量流经的路由器上，由于标准ACL表只能检查源IP，因此需要尽可能配置在离目标近的路由器，以避免误杀。
应用于进口还是出口，取决于流量控制的总方向。
要应用到哪个路由器就在哪个路由器上配置命令：

'''创建标准ACL及新增条目'''
en
conf t
access-list 1										#创立标准ACL表1
access-list 1 permit/deny 源IP或源网段 反子网掩码	#每条命令均需要表明针对哪个表
#反子网掩码：将正子网掩码按位取反，例如正子网掩码255.255.255.0对应反子网掩码为0.0.0.255
#反子网掩码的作用：用来匹配，与0对应的需要严格匹配，与1对应的忽略。
access-list 1 deny 10.1.1.1 0.0.255.255				#表示拒绝所有源IP为10.1.x.x的数据包
access-list 1 deny 10.1.0.0 0.0.255.255				#含义与上一行，更方便理解
access-list 1 deny 10.1.1.1 255.255.255.255			#表示拒绝所有源IP为x.x.x.x的数据包
access-list 1 deny any								#含义与上一行，更方便理解
access-list 1 deny host 10.1.1.1					#表示拒绝源IP地址为10.1.1.1的数据包
access-list 1 permit any							#表示允许所有数据包通行

'''查看表'''
en
show ip access-list 1		#查看表1，如果不指定表号，则查看所有ACL表。

'''删除表'''
en
conf t
no access-list 1			#删除表，需要指定表号。

'''编辑完ACL表后，需要将ACL表应用于哪个接口哪个反向'''
en
conf t
int f0/0
ip access-group 1 in/out	#in或out二选一
exit

2.2 扩展ACL

表号范围：100~199。
特点：可以基于源IP、目标IP、端口号、协议等对数据包进行过滤。
配置位置：流量流经的路由器上，由于扩展ACL表条件丰富，因此尽可能配置在离源近的路由器，以减少路由器负担。
应用于进口还是出口，取决于流量控制的总方向。
要应用到哪个路由器就在哪个路由器上配置命令：

'''创建标准ACL及新增条目'''
en
conf t
acc 100 					#创立扩展ACL表1
#标准命令，要满足所有条件才执行动作。
#除了端口号其余的都要写，eq表示等于。
#协议一般写tcp/udp/ip/icmp，当有写端口号时，需要写对应的协议TCP或UDP。注意tcp/udp/icmp均需要流经ip。
acc 表号 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或目标网段 反子网掩码 [eq 端口号] 
# 表示允许主机10.1.1.1访问主机20.1.1.3的TCP80端口
acc 100 permit tcp host 10.1.1.1 host 20.1.1.3 eq 80
# 表示禁止主机10.1.1.1的UDP53端口，该主机将无法请求DNS解析。
acc 100 deny udp host 10.1.1.1 any eq 53
#表示禁止主机10.1.1.1访问网段20.1.1.0
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255 
#表示禁止主机10.1.1.1所有流向网段20.1.1.0TCP服务的数据包
acc 100 deny tcp host 10.1.1.1 20.1.1.0 0.0.0.255 
#表示禁止主机10.1.1.1ping20.1.1.0网段
acc 100 deny icmp host 10.1.1.1 20.1.1.0 0.0.0.255 
# 表示允许所有通过
acc 100 permit ip any any

'''查看表'''
en
show ip access-list 1		#查看表1，如果不指定表号，则查看所有ACL表。

'''删除表'''
en
conf t
no access-list 1			#删除表，需要指定表号。

'''编辑完ACL表后，需要将ACL表应用于哪个接口哪个反向'''
en
conf t
int f0/0
ip access-group 1 in/out	#in或out二选一
exit

2.3 原理

进出（in/out）是针对路由器而言，在每个接口上都有两个方向。
ACL表贴于哪个口，就控制哪个口的进出，贴于门外，则表示满足规则运行进入；贴于门内，则表示满足规则可以出去。
一个接口的一个方向（进和出）仅应用一张ACL表。
ACL表严格自上而下逐条检查，因此条目顺序很重要。
ACL表中自上而下有多个条目，每个条目由条件与动作构成。每当有流量来时，严格自上而下逐条检查条目，当条件完全满足时，执行动作；当条件不完全满足时，检查下一条；当所有条件都不满足时，则拒绝通过，这是隐藏在ACL表最后的。

3 ACL编辑

ACL表编辑及应用应该在整个网络已经能做正常ping通后再考虑。
ACL表用于过滤数据包，先根据流量的流经，判断应用在哪个路由器、哪个接口、哪个方向上。
考虑使用哪种ACL表。
开始编写时先判断大部分流量是拒绝通过还是允许通过，决定ACL表最后一行如何编写。
建议自下往上编写条目，越往上一般条件限制越严格。
一般情况下，标准或扩展ACL表一旦编写好，无法修改某一条、无法删除某一条、也无法修改顺序、也无法插入某一条，只能一直在最后添加新的条目。如果要修改/删除/调整顺序，只能删除整张表，重新写。

4 命名ACL

是对标准ACL和扩展ACL的功能完善，不是第三类ACL表。
作用：可以对标准或扩展ACL进行自定义命名。
优点：（1）自定义命名更容易辨认，也便于记忆。（2）可以任意修改/删除/插入某一条。
可以理解为进入ACL表配置模式才能修改/删除/插入条目，在全局配置模式就只能删除整个表。
相关命令：

en
conf t
acc 1 deny host 10.1.1.1							#创建标准ACL表1并编写规则
acc 1 permit any
acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.0.255 	#创建扩展ACL表100并编写规则
acc 100 permit ip any any
#希望内网的人都可以访问网站服务器、外网都不能访问网站服务器
#创建命名ACL表，其中ex表示扩展、stan表示标准。
#该命令会进入扩展ACL表配置模式，不用每一句均以 access+表号 开头
ip access-list extended/standard 自定义表名
ip access-list ex kongzhi-80-oa
#允许内网192.168网段访问主机10.1.1.1的tcp80端口。
permit tcp 192.168.0.0 0.0.255.255 host 10.1.1.1 eq 80
#允许内网172.16网段访问主机10.1.1.1的tcp80端口。
permit tcp 172.16.0.0 0.0.255.255 host 10.1.1.1 eq 80			
#禁止内网192.168网段访问主机10.1.1.1的ip协议
deny ip 192.168.0.0 0.0.255.255 host 10.1.1.0
exit
#查看所有表
do sh ip acc
#再次进入命名ACL表，进行条目调整
ip access-list ex kongzhi-80-oa
#删除该表中表号为20的条目
no 20
#插入条目，先写条目序号
15 permit tcp 172.16.0.0 0.0.255.255 host 10.1.1.1 eq 80
#查看所有表
do sh ip acc

#利用命名ACL的方式修改扩展ACL
ip access-list ex 100

5 总结

NTFS权限列表也是ACL表，本节与之无关。
重点理解反子网掩码起到的作用。
重点理解ACL条目的执行规律。
理解ACL应配置在哪个路由器、哪个接口、哪个方向上。
掌握相关命令。

6 参考文献

《访问控制列表百科》