路由防火墙访问列表.docVIP

ACL 是在一个路由器上的多目的配置工具 通常被看作一种过滤工具，过滤进入和离开路由器的流量。这样可以让我们实现复杂的安全策略。 对进入接口的流量进行过滤 对离开接口的流量进行过滤 控制到路由器VTY线路的访问 控制路由器向邻居发布那些路由更新或co能从相邻路由器路由那些路由更新 用模拟线路或者ISDN触发按需拨号路由选择; 分类流量以处理拥塞，如拥塞避免拥塞管理和队列功能； 基于地址或者协议信息，限制DEBUG命令的输出 。 ACL是一组命令，当ACL用作过滤流量时，通常称为过滤器。基于在路由器上第一的条件，可以应用到这些流量的决定包括允许或者丢弃的流量。条件可以在数据包的内容中查找匹配信息，包括： 源地址或者目标地址； 第2层协议信息，例如以太网帧类型； 第三层协议，例如 ＩＰ　ＩＰＸ和ＡＰＰＬＥＴＡＬＫ　； 　　第三层协议信息，例如 Ip ICMP OSPF TCP ,UDP和其他TCP/IP协议簇中的协议； 　　第四层协议信息，例如TCP和UDP端口号； 　　当在ACL语句中找到一个匹配时，则不会在处理其他语句． 　　在每个ACL最后面都有一条看不见的语句，称为＂隐式的＇语句．他的目标是丢弃数据包　， 　　 　　在过滤时，如果cisco IOS丢弃数据包，它会生成ICMP管理性禁止消息； 　　语句的顺序是很重要的，约束性最强的语句应该放到列表的顶部，约束性最弱的语句应该放到列表的底部． 　　一个空的访问列表组允许所有数据包，空的访问列表组已经在路由器上被激活，但是不包括任何语句的ACL．要使隐式拒绝语句起作用，则在ＡＣＬ中至少要有一条允许或者拒绝语句。 　　我们只能在每个接口，每个协议，每个方向上应用一个ACL 例如，在接口的输入方向，不能有两个ip acl，但是可以在输入和输出方向上分别应用一个IP ACL ，或者将一个IP 和一个IPX ACL 同时应用到输入方向； 　　只过滤数据包源地址的ACL应该放在离目的地（正在过滤得）尽可能近的地方； 　　过滤数据包的源地址和目的地址以及其他信息的ACL，则应该放在离源地址尽可能近的地方． 　　执行ACL时应以下基本规则，准则和限制 　　ACL语句按名称或者编号分组 　　每条ACL语句都只有一组条件和操作（允许或者拒绝）．如果需要多多个条件或者多个行动，则必须生成多个ACL语句； 　　如果一条语句的条件中没有找到匹配，则处理列表中的下一条ACL语句； 　　如果在ACL组的一条语句中找到匹配，则不在处理后面的语句； 　　如果处理了雷表中的说有语句而没有指定匹配，不可见到的隐式拒绝语句拒绝该数据包 　　由于在ACL语句组的最后隐式拒绝，所以至少要有一个允许操作；否则所有数据包都会被拒绝； 　　在过滤时，如果cisco IOS丢弃数据包，它会生成ICMP管理性禁止消息； 　　语句的顺序是很重要的，约束性最强的语句应该放在列表的顶部，约束性最弱的的语句应该放到列表的底部． 　　 　　Router(config)#access-list ACL_# permit |deny conditions 以下是建立列表时有用的提示 　　１．在建立ACL时，确保在我们面前有一幅网络拓扑的图像，以及要实施安全策略列表 　　２．将安全策略列表从约束最强的到最弱的排序，然后用该列表建立ACL命令； 　　３．对那些有相同基本约束性的ACL语句，将经常使用的放在不常使用的之前．这样确保首先处理那些经常批匹配的语句，减轻路由器负担． 　　４．ACL支持备注．这样可以使我们在ACL组中的任何命令之前或之后，添加一个简单的描述，使用该功能使ACL更具可读性．并且容易被应用； 　　５．总是先建立ACL，然后再接口应用． 　 　　　激活ACL Router(config)#interface TYPE[slot_#]prot_# router(config-if)#protocol_name access-group ACL_#_or_name in | out 通配符和子网掩码 　　　掩码　　　　　　　二进制１　　　　　　　　　　　二进制０　 　　子网掩码　　　改位对应的地址是网络部分　　　改位对应的地址是主机部分 　　通配符掩码　　改位对应的条件地址被忽略　　　改位对应的地址必须匹配 　　标准ACL通常用在路由器上的以下配置 　　 　　１．限制通过VTY线路对路由器的访问（TELNET和SSH） 2 .限制通过HTTP或者HTTPS对路由器的访问 　　３．过滤路由器选择更新 　　扩展ACL通常用于过滤路由器接口之间的流量，这主要是因为它们在匹配２