网络层访问权限控制技术 ACL详解(二) ACL基本配置

ACL配置技术详解

"说那么多废话做什么，赶快开始进行配置吧。"，A公司的网管说。呵呵，并不是我想说那么多废话，因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看，你的第一个需求是什么。

"做为一个网管，我不期望普通用户能telnet到网络设备"――ACL基础

"补充一点，要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。"。hamm，是个不错的主意，谁都不希望有人在自己的花园中撤野。让我们分析一下，在A公司的网络中，除出口路由器外，其它所有的网络设备段的是放在Vlan1中，那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过，其它的包通通过滤掉。这中只管源IP地址的ACL就叫做

标准IP ACL：

我们在SWA上进行如下的配置：

access-list 1 permit host 10.1.6.66

access-list 1 deny any

int vlan 1

ip access-group 1 out

这几条命令中的相应关键字的意义如下：

access-list：配置均ACL的关键字，所有的ACL均使用这个命令进行配置。

access-list后面的1：ACL号，ACL号相同的所有ACL形成一个组。在判断一个包时，使用同一组中的条目从上到下逐一进行判断，一遇到满足的条目就终止对该包的判断。1-99为标准的IP ACL号，标准IP ACL由于只读取IP包头的源地址部分，消耗资源少。

permit/deny：操作。Permit是允许通过，deny是丢弃包。

host 10.1.6.66/any：匹配条件，等同于10.1.6.66 0.0.0.0。刚才说过，标准的ACL只限制源地址。Host 10.1.6.66(10.1.6.66 0.0.0.0)的意思是只匹配源地址为10.1.6.66的包。0.0.0.0是wildcards，某位的wildcards为0表示IP地址的对应位必须符合，为1表示IP地址的对应位不管是什么都行。简单点说，就是255.255.255.255减去子网掩码后的值，0.0.0.0的wildcards就是意味着IP地址必须符合10.1.6.66，可以简称为host 10.1.6.66。any表示匹配所有地址。

注意：IOS中的ACL均使用wildcards，并且会用wildcards对IP地址进行严格的对齐，如你输入一条access-list 1 permit 10.1.1.129 0.0.0.31，在你show access-list看时，会变成access-list 1 permit 10.1.1.128 0.0.0.31，PIXOS中的ACL均使用subnet masks，并且不会进行对齐操作。更为详细的关于IP V4地址的资料可以参见拙著《IP v4基础知识》http://www.ultratechnology.net/showarticle.php?s=&articleid=60 一文

int vlan1///ip access-group 1 out：这两句将access-list 1应用到vlan1接口的out方向。其中1是ACL号，和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤，可以有in和out两种选择。

注意：这里的in/out都是站在路由器或三层模块（以后简称R）上看的，in表示从该接口进入R的包，out表示从该接口出去的包。

好了，这就是一个最基本的ACL的配置方法。什么，你说普通用户还能telnet到RTA？那你在int vlan3上现加一个ip access-group 1 out吧。Hammmm，等等，你这样加上去普通用户就访问不了internet了。让我们把刚才的ACL去掉，重新写一个。

回忆一下，我们的目的是除了10.1.6.66能够进行telnet操作外，其它用户都不允许进行telnet操作。刚才我们说过，标准的IP ACL只能控制源IP地址，不能控制到端口。要控制到第四层的端口，就需要使用到：

扩展的IP ACL的配置

先看看配置实例吧。在SWA上进行如下配置：

int vlan 1

no ip access-group 1 out

exit

no access-list 1

access-list 101 permit tcp host 10.1.6.66 any eq telnet

access-list 101 deny tcp any any eq telnet

int vlan 1

ip access-group 101 out

int vlan 3

ip access-group 101 out

你应该注意到到这里的ACL有一些变化了，现在对变化的部分做一些说明：

access-list 101：注意这里的101，和刚才的标准ACL中的1一样，101是ACL号，表示这是一个扩展的IP ACL。扩展的IP ACL号范围是100-199，扩展的IP ACL可以控制源IP、目的IP、源端口、目的端口等，能实现相当精细的控制，扩展ACL不仅读取IP包头的源地址/目的地址，还要读取第四层包头中的源端口和目的端口，的IP在没有硬件ACL加速情况下，会消耗大量的CPU资源。

int vlan 1///no ip access-group 1 out///exit///no access-list 1：取消access-list 1，对于非命名的ACL，可以只需要这一句就可以全部取消。注意，在取消或修改一个ACL前，必须先在它所应用的接口上先把应用给no掉，否则会导致相当严重的后果。

tcp host 10.1.6.66 any eq telnet：匹配条件。完整格式为：协议 源地址 源wildcards [关系] [源端口]