訪問控制列表

A. 訪問控制列表的作用和組成是什麼

標准和擴展標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號作用：控制流量對網路統一管理流量允許、拒絕用 標准ACL對單以服務或協議控制允許、拒絕用 擴展ACL。

B. 什麼是訪問控制列表

下面是對幾種訪問控制列表的簡要總結。
●標准IP訪問控制列表
一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。
●擴展IP訪問控制列表
擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。
●命名的IP訪問控制列表
所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標准和擴展兩種列表，定義過濾的語句與編號方式中相似。
●標准IPX訪問控制列表
標准IPX訪問控制列表的編號范圍是800-899，它檢查IPX源網路號和目的網路號，同樣可以檢查源地址和目的地址的節點號部分。
●擴展IPX訪問控制列表
擴展IPX訪問控制列表在標准IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個宇段的檢查，它們是協議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900-999。
●命名的IPX訪問控制列表
與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標准和擴展之分。

C. 路由器的訪問控制列表是怎樣設置的

訪問控制列表是一種包過濾技術，分為標准訪問控制列表（編號為1到99）和擴展訪問控制列表（編號為100到199）兩類。標准訪問控制列表主要是對源地址的控制，適用於所有的協議。
以Cisco2600路由器為例，假設允許192.168.1.0網段內的所有機器通過路由器出去，那麼設置如下：access-list 1 permit 192.168.1.0 0.0.0.255interface serial 0ip access-group 1 out其中，0.0.0.255為該網段的通配符掩碼。非標准訪問控制列表可以實現對源地址和目的地址的雙重控制，還可以只針對某一協議作控制。以Cisco路由器為例，假設拒絕192.16.1.0網段內的所有機器通過80埠從路由器訪問新浪網站，操作如下：access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80access-list 101 permit any anyinterface serial 1ip access-group 101 out

D. 訪問控制列表的分類

in的時候判斷的是源地址是vlan內的地址，out的時候判斷源地址是非本vlan 內的地址。
18、19兩個不同的網段，在18網段上加訪問列表，
----〉表示能夠訪問，---X-->；表示不能訪問。
ip access-l exte test_liu
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
exit
測試：18.5--X-->19.30
19.30--X-->18.5
訪問列表生效，在IN 方向判斷源地址18.5屬於本VLAN
___________________________________________________
inter vlan 18
ip access-g test_liu out
exit
測試：18.5---->19.30
19.30---->18.5
訪問列表不生效，在OUT方向判斷源地址18.5屬於本VLAN，不作限制
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ip access-l exte test_liu
deny ip host 10.24.19.30 host 10.24.18.5
permit ip any any
----------------------------------------------------
inter vlan 18
ip access-g test_liu in
exit
測試：18.5---->19.30
19.30---->18.5
訪問列表不生效，在in方向判斷源地址19.30不屬於本VLAN，不作限制
__________________________________________________ 配置路由器
動態路由已設好，IP地址分配如下：
RouterA f0/0: 10.65.1.2
RouterA f0/1: 10.66.1.2
RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1
RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1
RouterB s0/1: 10.69.1.2
RouterB f0/0: 10.70.1.2
SWA:10.65.1.8gateway:10.65.1.2
PCA:10.65.1.1gateway:10.65.1.2
PCB:10.66.1.1gateway:10.66.1.2
PCC:10.69.1.1gateway:10.69.1.2
PCD:10.70.1.1gateway:10.70.1.2
PCE:10.65.1.3gateway:10.65.1.2
PCF:10.65.2.1gateway:10.65.1.2
基本基礎
先從PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 （通）
在ROC的s0/0寫一個輸入的訪問控制列表：
RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0
RouterC(config)#access-list 1 deny any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in
RouterC(config-if)#end
RouterC#sh access-list 1
[root@PCA @root]#ping 10.70.1.1（通）
[root@PCE @root]#ping 10.70.1.1（不通）
[root@PCE @root]#ping 10.66.1.1（通）
[root@PCB @root]#ping 10.70.1.1（不通）
[root@PCD @root]#ping 10.66.1.1（通）
第一個ping，PCA的IP地址是10.65.1.1在訪問控制列表access-list 1中是
允許的，所以通。
第二個ping,PCE雖然是65網段，但是access-list 1對10.65.1.1是完全匹配，
所以10.65.1.3的數據包不能通過。
第三個ping,PCE到PCB不通過RouterC的s0/0，所以能通。
第四個ping,PCB的IP地址是10.66.1.1，它是被禁止的，所以不通。
第五個ping，從PCD到PCB的數據包是從RouterC的s0/0口出，不受access-list 1
的控制，所以通。
下面再寫一個訪問控制列表，先刪除原訪問控制列表：
RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可能實現去掉訪問列表的目的。前者是從列表號角度刪除，後者是從介面
的輸入和輸出角度刪除。
可以通過sh access-list <n> 命令查看訪問控制列表。
下面再寫一個訪問控制列表：
RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255
RouterC(config)#access-list 2 permit any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 out
RouterC(config-if)#end
RouterC#sh access-list 1
這個訪問控制列表比上一個訪問控制列表有以下幾點不同：
⑴ 先deny後permit，
⑵ 禁止的是一個C類
⑶ 一個輸出的訪問控制
[root@PCA @root]#ping 10.69.1.1（不通）
[root@PCE @root]#ping 10.69.1.1（不通）
[root@PCF @root]#ping 10.69.1.1（通）
[root@PCB @root]#ping 10.69.1.1（通）
因為PCA和PCE的IP地址10.65.1.1、10.65.1.3，在deny范圍內，所以不通。
而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范圍內，所以能通。
梯形基本
訪問控制列表一般是順序匹配的，梯形結構，下面是一個參考：
RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255
RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255
RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RouterC(config)#access-list 4 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out
[root@PCA @root]#ping 10.69.1.1（通）
[root@PCE @root]#ping 10.69.1.1（不通）
[root@PCF @root]#ping 10.69.1.1（通）
[root@PCB @root]#ping 10.69.1.1（不通） 列表格式
---- 標准型IP訪問列表的格式如下：---- access-list[list number][permit|deny][source address]---- [address][wildcard mask][log]---- 下面解釋一下標准型IP訪問列表的關鍵字和參數。首先，在access和list這2個關鍵字之間必須有一個連字元-；其次，list number的范圍在0～99之間，這表明該access-list語句是一個普通的標准型IP訪問列表語句。因為對於Cisco IOS，在0～99之間的數字指示出該訪問列表和IP協議有關，所以list number參數具有雙重功能: （1）定義訪問列表的操作協議; （2）通知IOS在處理access-list語句時，把相同的list number參數作為同一實體對待。正如本文在後面所討論的，擴展型IP訪問列表也是通過list number（范圍是100～199之間的數字）而表現其特點的。因此，當運用訪問列表時，還需要補充如下重要的規則: 在需要創建訪問列表的時候，需要選擇適當的list number參數。
允許拒絕
---- 在標准型IP訪問列表中，使用permit語句可以使得和訪問列表項目匹配的數據包通過介面，而deny語句可以在介面過濾掉和訪問列表項目匹配的數據包。source address代表主機的IP地址，利用不同掩碼的組合可以指定主機。---- 為了更好地了解IP地址和通配符掩碼的作用，這里舉一個例子。假設您的公司有一個分支機構，其IP地址為C類的192.46.28.0。在您的公司，每個分支機構都需要通過總部的路由器訪問Internet。要實現這點，您就可以使用一個通配符掩碼 0.0.0.255。因為C類IP地址的最後一組數字代表主機，把它們都置1即允許總部訪問網路上的每一台主機。因此，您的標准型IP訪問列表中的access-list語句如下：---- access-list 1 permit 192.46.28.0 0.0.0.255---- 注意，通配符掩碼是子網掩碼的補充。因此，如果您是網路高手，您可以先確定子網掩碼，然後把它轉換成可應用的通配符掩碼。這里，又可以補充一條訪問列表的規則5。
指定地址
---- 如果您想要指定一個特定的主機，可以增加一個通配符掩碼0.0.0.0。例如，為了讓來自IP地址為192.46.27.7的數據包通過，可以使用下列語句：---- Access-list 1 permit 192.46.27.7 0.0.0.0---- 在Cisco的訪問列表中，用戶除了使用上述的通配符掩碼0.0.0.0來指定特定的主機外，還可以使用host這一關鍵字。例如，為了讓來自IP地址為192.46.27.7的數據包可以通過，您可以使用下列語句：---- Access-list 1 permit host 192.46.27.7---- 除了可以利用關鍵字host來代表通配符掩碼0.0.0.0外，關鍵字any可以作為源地址的縮寫，並代表通配符掩碼0.0.0.0 255.255.255.255。例如，如果希望拒絕來自IP地址為192.46.27.8的站點的數據包，可以在訪問列表中增加以下語句：---- Access-list 1 deny host 192.46.27.8---- Access-list 1 permit any---- 注意上述2條訪問列表語句的次序。第1條語句把來自源地址為192.46.27.8的數據包過濾掉，第2條語句則允許來自任何源地址的數據包通過訪問列表作用的介面。如果改變上述語句的次序，那麼訪問列表將不能夠阻止來自源地址為192.46.27.8的數據包通過介面。因為訪問列表是按從上到下的次序執行語句的。這樣，如果第1條語句是:---- Access-list 1 permit any---- 的話，那麼來自任何源地址的數據包都會通過介面。
拒絕列表
---- 在默認情況下，除非明確規定允許通過，訪問列表總是阻止或拒絕一切數據包的通過，即實際上在每個訪問列表的最後，都隱含有一條deny any的語句。假設我們使用了前面創建的標准IP訪問列表，從路由器的角度來看，這條語句的實際內容如下：---- access-list 1 deny host 192.46.27.8---- access-list 1 permit any---- access-list 1 deny any---- 在上述例子裡面，由於訪問列表中第2條語句明確允許任何數據包都通過，所以隱含的拒絕語句不起作用，但實際情況並不總是如此。例如，如果希望來自源地址為192.46.27.8和192.46.27.12的數據包通過路由器的介面，同時阻止其他一切數據包通過，則訪問列表的代碼如下：---- access-list 1 permit host 192.46.27.8---- access-list 1 permit host 192.46.27.12---- 注意，所有的訪問列表會自動在最後包括deny any語句。---- 順便討論一下標准型IP訪問列表的參數log，它起日誌的作用。一旦訪問列表作用於某個介面，那麼包括關鍵字log的語句將記錄那些滿足訪問列表中permit和deny條件的數據包。第一個通過介面並且和訪問列表語句匹配的數據包將立即產生一個日誌信息。後續的數據包根據記錄日誌的方式，或者在控制台上顯示日誌，或者在內存中記錄日誌。通過Cisco IOS的控制台命令可以選擇記錄日誌方式。 （1） 「ACL 的最後一條語句都是隱式拒絕語句」 是什麼意思？
每個 ACL 的末尾都會自動插入一條隱含的 deny 語句，雖然ACL中看不到這條語句，它仍其作用。隱含的 deny 語句會阻止所有流量，以防不受歡迎的流量意外進入網路。
（2） 配置ACL後為什麼沒有生效？
在創建訪問控制列表之後，必須將其應用到某個介面才可開始生效。ACL 控制的對象是進出介面的流量。

E. 訪問控制列表有幾種類型說出不同訪問控制列表可控制訪問的元素有哪些

標准訪問控制列表，擴展訪問控制列表，命名訪問控制列表，定時訪問控制列表。

一個標准IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包採取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標准IP訪問控制列表。

擴展IP訪問控制列表比標准IP訪問控制列表具有更多的匹配項，包括協議類型、源地址、目的地址、源埠、目的埠、建立連接的和IP優先順序等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。

(5)訪問控制列表擴展閱讀：

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。

F. 訪問控制列表有什麼用

訪問控制列表顧名思義就是控制網路訪問許可權的，可以基於IP地址進行控制也可以基於MAC地址進行控制。
在控制列表中的IP地址或MAC地址依據其設置的允許或拒絕前置條件可以做到只允許控制列表中的IP地址或MAC地址的設備允許或拒絕使用網路