一、访问控制列表

1.分类：访问控制列表一般分为：标准访问控制列表、扩展访问控制列表、命名访问控制列表；

2.标准访问控制列表的说明

（1）标准访问控制列表的编号：1-99；

（2）标准访问控制列表：只是对源地址进行判断；一般放在离目的端较近的接口上；

例如：我从厦门坐车到福州去办事；则源地址是【厦门】，目标地址【福州】；

例如：在福州办完事情，搭车返回厦门；则源地址是【福州】，目标地址【厦门】；

例如：PC1所在的网段172.16.1.0/24要访问DNS服务器（171.1.1.1/24）；则源地址是【172.16.1.0/24】，目标地址【171.1.1.1/24】；

例如：DNS服务器（171.1.1.1/24）将PC1询问的URL地址转发给PC1;则源地址是【171.1.1.1/24】，目标地址【PC1的IP地址】；

3.扩展访问控制列表的说明

（1）扩展访问控制列表的编号：100-199；

（2）扩展访问控制列表是对源地址、目的地址、源端口、目的端口和协议进行判断；一般放在离源端较近的接口；

（3）源地址和目的地址有可能是一个固定的IP地址，也有可能是一个网段；

（4）端口的含义

①端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535

②已知端口：0-1023有特殊作用，被预定，如FTP、HTTP、SMTP等，不能被人为的指定功能；

例如：21/tcp FTP 文件传输协议，21代表FTP协议的端口号；TCP说明FTP的传输方式是可靠传输；默认情况下FTP协议使用TCP端口中的 20和21这两个端口，其中20用于传输数据，21用于传输控制。怎么不记混呢，就是0和1的区别，0是O管道负责传输，1是把手，负责控制；

③常见的端口有：

★22/tcp SSH 安全登录、文件传送(SCP)和端口重定向

★23/tcp Telnet 不安全的文本传送

★25/tcp SMTP Simple Mail Transfer Protocol(E-mail)

★69/udp TFTP Trivial File Transfer Protocol

★79/tcp finger Finger

★80/tcp HTTP 超文本传送协议 (WWW)

★88/tcp Kerberos Authenticating agent

★110/tcp POP3 Post Office Protocol (E-mail)

★113/tcp ident old identification serversystem

★119/tcp NNTP used for usenet newsgroups

★220/tcp IMAP3

★443/tcp HTTPS used fo securely transferringweb pages

参考地址：https://blog.csdn.net/wadfji/article/details/53509753  端口功能的详细说明

④未知端口：1024-65535，可以被人为定义其功能的。例如8080，一般常用来作为网页的端口；

注意：在已知端口的范围内访问时，不需要添加端口号，若是采用未知端口，就必须使用端口号进行访问；

（5）对于TCP/IP模型中，各层常见的协议有：

①网络接口层（物理层+MAC子层）：ARP和RARP；

②网际层（LLC子层+网络层）：IP、ICMP、IGMP;

③传输层：TCP（传输控制协议）、UDP（用户数据报协议）

④应用层：工作在TCP协议（HTTP、Telnet、FTP、SMTP、POP)、工作在UDP协议（DNS、BOOTP、TFTP、SNMP)

用途：流量控制、路径选择（策略路由）、访问控制；比如在内网中允许哪些用户的主机可以访问外网。

二、访问控制列表实例

1.案例要求

配置OSPF动态路由协议使得网络联通，同时定义扩展ACL实现如下访问控制：

（1）该网段只允许IP地址为172.16.1.0/28范围的主机访问server（192.168.1.254）的WEB服务；

（2）该网段只允许IP地址为172.16.1.0/28范围的主机访问server（192.168.1.254）的FTP服务；

（3）拒绝PC2所在网段访问服务器器server的telnet服务；

（4）拒绝PC2所在网段pingserver（192.168.1.254）；

2.网络拓扑图

3.解析

第一个要求：该网段只允许IP地址为172.16.1.0/28的主机访问server（192.168.1.254）的WEB服务；

分析：

（1）172.16.1.0/28，172.16.1.0是B类私有IP地址；

（2）172.16.1.0/28，在原有B类IP地址的情况下，进行子网划分，28-24=4【说明子网的位数是4位】，2的4次幂=16【说明将172.16.1.0网段划分成16个子网】；

（3）172.16.1.0/28，每个子网的可以地址数，32-28=4【说明每个子网的主机位数是4位】，2的4次幂-2=16-2=14【说明没个子网最多可以容纳14台主机】；

（4）172.16.1.0/28，其子网的掩码是128+64+32+16=255.255.255.240；其反向子网掩码是：255-240=15，0.0.0.15【算法一】；算法2【子网的位数是4位，则2的4次幂=16，反向子网掩码等于16-1=15；】

（5）172.16.1.0/28，地址范围是-172.16.1.0~172.16.1.15；其中IP地址172.16.1.0代表该子网的网段；其中IP地址172.16.1.15代表该子网的广播地址；可以地址范围是【172.16.1.1~172.16.1.14】

（6）IP地址为172.16.1.0/28是源地址，代表在源地址范围内有14台主机可以访问目标地址；

（7）访问server（192.168.1.254），代表目标主机（目标地址）是一个固定的IP地址，而不是一个网段；

（8）WEB服务：采用HTTP协议，其接口号【80】，采用的协议是TCP协议；

（9）数据流向：PC1经过S1进入R2的F0/0，从R2的S0/0/0接口出来，进入R1的S0/0/0接口，从R1的F0/0接口出来，最终经过S3到达WEB服务器。

第二个要求：该网段只允许IP地址为172.16.1.0/28范围的主机访问server（192.168.1.254）的FTP服务；

分析：

（1）与上一个的前7点都相同；

（2）FTP服务：采用FTP协议，其接口号【20-数据端口】、【21-控制端口】，采用的协议是TCP协议；

注意：在第一个要求和第二个要求中有一个共同点【只允许】，在配置访问控制列表是采用的关键词是【permit】，在ACL的列表最后面有一个隐含的【deny any any】；

第三个要求：拒绝PC2所在网段访问服务器server的telnet服务；

（1）关键词【拒绝】，在配置访问控制列表是采用的关键词是【deny】；

（2）PC2所在网段，指定的是一部分主机（一个网段），而不是PC2主机；

（3）服务器server，指定的是目标主机是一个拥有固定IP地址的主机；

（4）telnet服务，是远程登录协议，端口号是【23】，属于TCP协议；

（5）数据流向：PC2经过S2进入R2的F0/1，从R2的S0/0/0接口出来，进入R1的S0/0/0接口，从R1的F0/0接口出来，最终经过S3到达WEB服务武器。

第四个要求：拒绝PC2所在网段ping server（192.168.1.254）；

（1）关键词【拒绝】，在配置访问控制列表是采用的关键词是【deny】；

（2）PC2所在网段，指定的是一部分主机（一个网段），而不是PC2主机；

（3）服务器server，指定的是目标主机是一个拥有固定IP地址的主机；

（4）ping server（192.168.1.254），PING属于ICMP协议簇中的一个协议，

注意：在该ACL列表中，开头就是【拒绝】，末尾没有看到任何的允许信息存在，且在ACL的列表最后面有一个隐含的【deny any any】；则该接口将出现任何信息都无法通过该接口到达目的端的现象。

解决办法：在列表的最后面，加上【permit any any】；

4.IP 地址规划

5.配置过程

（1）步骤1：配置路由器R2

R2(config)#inter fa 0/0  //进入接口

R2(config-if)#ip add 172.16.1.1 255.255.255.0 //配置IP地址和子网掩码

R2(config-if)#no shut  //打开接口

R2(config)#inter fa 0/1  //进入接口

R2(config-if)#ip add 172.16.2.1 255.255.255.0 //配置IP地址和子网掩码

R2(config-if)#no shut  //打开接口

R2(config-if)#exit  //退出接口工作模式

R2(config)#router ospf 1  //进入OSPF工作模式

R2(config-router)#net 192.168.2.0 0.0.0.3 area 0 //声明直连网段

R2(config-router)#net 172.16.1.0 0.0.0.255 area 0 //声明直连网段

R2(config-router)#net 172.16.2.0 0.0.0.255 area 0 //声明直连网段

R2(config-router)#exit  //退出路由工作模式

R2(config)#access-list 101 remark This is an example forextended ACL  //为ACL101添加标注

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 80 log

//允许IP地址为172.16.1.0/28网段的主机访问server（192.168.1.254）的WEB服务

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 20 log

R2(config)#access-list 101 permit tcp 172.16.1.00.0.0.15 host 192.168.1.254 eq 21 log

//以上2条ACL拒绝IP地址为172.16.1.0/28网段的主机访问server（192.168.1.254）的FTP服务

R2(config)#access-list 101 deny ip any any     

//可不添加，因为ACL末尾默认隐含“deny any any”

R2(config)#access-list 102 remark This is an example forextended ACL  //为ACL102添加标注

R2(config)#access-list 102 deny tcp 172.16.2.0 0.0.0.255  host 192.168.1.254 eq 23 log

//拒绝IP地址为172.16.1.0/24的主机访问server（192.168.1.254）的的telnet服务

R2(config)#access-list 102 deny icmp 172.16.2.0 0.0.0.255  host 192.168.1.254 log 

//拒绝IP地址为172.16.1.0/24的主机访问server（192.168.1.254）的的icmp服务

R2(config)#access-list 102 permit ip any any  

//将其余流量放行，否则ACL会将所有流量拒绝，因为ACL末尾隐含了“deny any any”

R2(config)#interface fa 0/0  //进入接口

R2(config-if)#ip access-group 101 in  //应用ACL101到接口fa0/0的出方向

R2(config-if)#exit  //退出接口工作模式

R2(config)#interface fa 0/1  //进入接口

R2(config-if)#ip access-group 102 in  //应用ACL102到接口fa0/1的出方向

R2(config-if)#exit  //退出接口工作模式

R2(config)#

（2）步骤2：配置路由器R2

R1(config)#inter s 0/0/0  //进入接口

R1(config-if)#ip add 192.168.2.2 255.255.255.252 //配置IP地址和子网掩码

R1(config-if)#clock rate 64000

R1(config-if)#no shut  //打开接口

R1(config-if)#exit  //退出接口工作模式

R1(config)#inter fa 0/0  //进入接口

R1(config-if)#ip add 192.168.1.1 255.255.255.0 //配置IP地址和子网掩码

R1(config-if)#no shut  //打开接口

R1(config-if)#exit  //退出接口工作模式

R1(config)#router ospf 1  //进入OSPF工作模式

R1(config-router)#net 192.168.2.0 0.0.0.3 area 0 //声明直连网段

R1(config-router)# net 192.168.1.0 0.0.0.255 area 0 //声明直连网段

R1(config-router)#end

【说明】

①参数”log”会生成相应的日志信息，用来记录经过ACL入口的数据包的情况。

②访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；访问控制列表最后一条是隐含的拒绝所有deny any；

③路由器不对自身产生的IP数据包进行过滤；

④尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上，这样创建的过滤器就不会反过来影响其他接口上的数据流。

⑤对于编号扩展ACL，新添加的ACL条目只能加到最后，不能插到原来ACL条目中间，所以如果想在原来的编号扩展ACL中插入某条条目，只能删掉原来的ACL内容，重新编写。

（3）步骤3：实验调试

首先分别在PC1上访问服务器的FTP和WWW服务，然后改变PC1的地址为172.16.1.20，在PC1上访问服务器的FTP和WWW服务，再查看访问控制列表：

R1#show ip access-list 

Extended IP access list 101

10  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq www (10 match(es)) 

20  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq 20

30  permit tcp 172.16.1.0 0.0.0.15 host192.168.1.254 eq ftp (14 match(es))

40  deny ip any any (80 match(es))

Extended IP access list 102

10  deny tcp 172.16.2.0 0.0.0.255 host192.168.1.254 eq telnet

20  deny icmp 172.16.2.0 0.0.0.255 host192.168.1.254

30  permit ip any any

最后在PC2所在网段的主机ping 服务器，路由器R1会出现下面的日志信息

*Mar 25 17:35:46.383;%SEC-6-IPACCESSLOGDP;list 102denied icmp 172.16.2.10 ->192.168.1.254(0/0)，4 packet

以上输出说明访问控制列表101在有匹配数据包的时候，系统做了日志。