Router(config-if)#
ip access-group access-list-number { in | out }
– – – –
在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表
访问列表的其它应用
优先级判断
Queue List
基于数据包检测的特殊数据通讯应用
访问列表的其它应用
优先级判断
Queue List
按需拨号
基于数据包检测的特殊数据通讯应用
访问列表的其它应用
优先级判断
Queue List
按需拨号
路由表过滤 Routing Table
基于数据包检测的特殊数据通讯应用
access-list 1 deny 172.16.4.13 0.0.0.0
拒绝一个特殊的主机
标准访问列表举例 2
172.16.3.0
Non172.16.0.0 S0 E0 E1 172.16.4.0 172.16.4.13
access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255)
例3：拒绝一个特定子网的通信流量 设计一个ACL，拒绝来自子网172.16.4.0的数据通过f0/0接 口转出，允许来自网络211.81.192.0的数据从f0/0接口 转出。禁止其他数据从该接口转出。 Router（config）# access-list 1 deny 172.16.4.0 0.0.0.255 Router（config）# access-list 1 permit 211.81.192.0 0.0.0.255 Router（config）# access-list 1 deny 0.0.0.0 255.255.255.255 =any Router（config）#interface Fastethernet 0/0 Router（config-if）#ip access-group 1 out
访问控制列表
广西交通职业技术学院 2010.9
访问控制列表概述
网络管理员经常面临必须设法拒绝那些不希望的访问连接， 同时又要允许那些正常的访问连接的问题。 访问控制列表（Access control list，缩写ACL，以下简写） 通过在路由器接口处控制路由数据包是被转发还是被阻塞 来过滤网络通信流量。路由器根据ACL中指定的条件来检 测通过路由器的每个数据包，从而决定是转发还是丢弃该 数据包。 ACL的定义是基于所有协议的，如IP、IPX等，换言之，如 果想控制某种协议的通信数据流，那么必须要对该接口处 的这种协议定义单独的ACL。例如，路由器接口配置成3种 协议，那么至少要定义3个访问控制列表（ACL）。IP ACL 只过滤IP报文；同样，IPX ACL只过滤IPX报文。
是有名字的访问列表吗？
IP标准
199
13001999
是
Extended IP（扩展）
100199
是
20002699
AplleTalk IPX标准 600699 800899 是
Extended IPX（扩展）
IPX service advertising protocol
900999
10001099
Source and Destination Protocol Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
• 扩展 – 检查源地址和目的地址
– 通常允许、拒绝的是某个特定的协议
什么是访问列表
E0
Incoming Packet
Access List PFra bibliotekocesses
标准ACl参数
参数 Access-list-number Deny Permit Source-address 参数说明 访问控制列表表号，用来指出入口属于那一个访问控制列表（对于标准 ACL来说，是从1到99或从1300到1999的一个十进制数字） 如果满足测试条件，则拒绝从该入口来的通信流量 如果满足测试条件，则允许该入口来的通信流量 数据包的源地址，可以是主机IP地址，也可以是网络地址。可以有两种 不同的方式来指定数据包的源地址：采用十进制的32比特位数字表示， 每8位为一组，中间用点号“.”隔开。如166.123.23.221■使用关键字any 作为一个源地址和源地址通配符（如0.0.0.0 255.255.255.255）的缩写字 （可选项）用来跟源地址一起决定哪些位需要进行匹配操作。有两种方 式来指定source-wildcard： （可选项）用来跟源地址一起决定哪些位需要进行匹配操作。有两种方 式来指定source-wildcard：采用十进制的32比特位数字表示，每8位为一 组，中间用点号“.”隔开。如果某位为1，表明这一们不需要进行匹配操 作；如果某个位为0则表明这一位需要严格地匹配。使用关键字any作为 一个源地址和源地址通配符（如0.0.0.0 255.255.255.255）的缩写字 log （可选项）生成相应的日志信息，用来记录经过ACL入口的数据包的有 关情况（日志信息的等级由命令Logging console来控制）。
标准IP访问列表的配置
Router(config)#
access-list access-list-number {permit|deny} source [mask]
• 为访问列表设置参数 • IP 标准访问列表编号 1 到 99
• 缺省的通配符掩码 = 0.0.0.0
• “no access-list access-list-number” 命令删除访问列表
标准IP ACL的定义
（2）应用到接口 Access-group命令可以把某个现存的访问控制列表域某个 接口联系起来。在每个端口、每个协议、每个方向上只能 有一个访问控制列表。Access-group命令的语法格式如下： Router（config-if）# ip Access-group access-list-number {in|out} 其中：access-list-number：访问控制列表表号，用来指出 链接到这一接口的ACL表号。in|out：用来指示该ACL是被 应用到流入接口（in），还是流出接口（out）。如果In和 Out都没有指定，那么缺省地被认为为Out。 删除：首先输入“no access-group”命令，并带有他的全部 设定参数，然后再输入“no access-list”命令，并带有 access-list-number。
标准访问列表举例 1
172.16.3.0
Non172.16.0.0 S0 E0 E1 172.16.4.0 172.16.4.13
access-list 1 permit 172.16.0.0 0.0.255.255 (implicit deny all - not visible in the list) (access-list 1 deny 0.0.0.0 255.255.255.255)
什么是访问列表--标准
E0
Incoming Packet
Access List Processes
Source Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
什么是访问列表--扩展
E0
Incoming Packet
Access List Processes
Source and Destination Protocol Permit?
Outgoing Packet
S0
• 标准 – 检查源地址
– 通常允许、拒绝的是完整的协议
• 扩展 – 检查源地址和目的地址;检查源端口和目的端口
– 通常允许、拒绝的是某个特定的协议
• 进方向和出方向
协议
ACL表号的范围
标准IP ACL的定义
（1）定义 使用全局配置命令Access-list来定义一个标准的访问控 制列表，并给它分配一个数字表号。Access-list在全局 配置命令模式下运行。 Router（config）#access-list access-list-number {perrmit|deny} source-address [source-wildcard] [log] access-list命令参数的详细说明： 在全局模式下采用no access-list access-list-number 可以 删除访问控制列表。
例2：拒绝一个特定主机的通信流量 设计一个ACL，拒绝主机172.16.4.110访问网络 172.16.3.0，但允许所有其他的数据从快速以太 网口f0/0接口转发出去。 Router（config）# access-list 1 deny host 172.16.4.110 Router（config）# access-list 1 permit 0.0.0.0 255.255.255.255 =any Router（config）#interface Fastethernet 0/0 Router（config-if）#ip access-group 1 out
Source-wildcard
标准IP ACL应用
如图所示为一个路由器连接两个子网所组成的网络实例。
Non-172.16.0.0 172.16.3.0
172.16.4.0
S0/0 172.16.4.110 F0/0 F0/1
标准ACL应用