访问控制列表：从入门到精通

　　访问控制列表(Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

　　ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。

　　ACL的作用

　　ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。如图1所示，ACL允许主机A访问人力资源网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　ACL的执行过程

　　一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。

　　ACL具体的执行流程见图2。

　　在图2中，数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送)，则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

　　这里要注意，ACL不能对本路由器产生的数据包进行控制。

　　ACL的分类

　　目前有两种主要的ACL:标准ACL和扩展ACL。

　　这两种ACL的区别是，标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

　　网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇(比如IP)的所有通信流量。

　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

　　在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。

　　

　　正确放置ACL

　　ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

　　

　　假设在图3所示的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。

　　根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上(E0接口)，网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。

　　网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址(网络1)，也能控制目的地址(网络2)，这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。

　　ACL的配置

　　ACL的配置分为两个步骤：

　　第一步:在全局配置模式下，使用下列命令创建ACL：

　　Router (config)# access-list access-list-number {permit | deny } {test-conditions}

　　其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL(1—99)和扩展的IP ACL(100-199)。

　　在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。一个比较有效的解决办法是：在远程主机上启用一个TFTP服务器，先把路由器配置文件下载到本地，利用文本编辑器修改ACL表，然后将修改好的配置文件通过TFTP传回路由器。

　　这里需要特别注意的是，在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。

　　在Cisco IOS11.2以后的版本中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。所以，笔者仍然建议使用TFTP服务器进行配置修改。

　　第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：

　　Router (config-if)# {protocol} access-group access-list-number {in | out }

　　其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。

　　ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。

　　值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。

　　访问控制列表使用目的：

　　1、限制网络流量、提高网络性能。例如队列技术，不仅限制了网络流量，而且减少了拥塞

　　2、提供对通信流量的控制手段。例如可以用其控制通过某台路由器的某个网络的流量

　　3、提供了网络访问的一种基本安全手段。例如在公司中，允许财务部的员工计算机可以访问财务服务器而拒绝其他部门访问财务服务器

　　4、在路由器接口上，决定某些流量允许或拒绝被转发。例如，可以允许FTP的通信流量，而拒绝TELNET的通信流量。

　　工作原理：

　　ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝

　　注意：ACL是CISCO IOS中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码——丢弃DENY.所以在写ACL时，一定要注意先后顺序。

　　例如：要拒绝来自172.16.1.0/24的流量，把ACL写成如下形式

　　允许172.16.0.0/18

　　拒绝172.16.1.0/24

　　允许192.168.1.1/24

　　拒绝172.16.3.0/24

　　那么结果将于预期背道而驰，把表一和表二调换过来之后，再看一下有没有问题：

　　拒绝172.16.1.0/24

　　允许172.16.0.0/18

　　允许192.168.1.1/24

　　拒绝172.16.3.0/24

　　发现172.16.3.0/24和刚才的情况一样，这个表项并未起到作用，因为执行到表二就发现匹配，于是路由器将会允许，和我们的需求完全相反，那么还需要把表项四的位置移到前面

　　最后变成这样：

　　拒绝172.16.1.0/24

　　拒绝172.16.3.0/24

　　允许172.16.0.0/18

　　允许192.168.1.1/24

　　可以发现，在ACL的配置中的一个规律：越精确的表项越靠前，而越笼统的表项越靠后放置。

　　ACL是一组判断语句的集合，它主要用于对如下数据进行控制：

　　1、入站数据;

　　2、出站数据;

　　3、被路由器中继的数据

　　工作过程

　　1、无论在路由器上有无ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括AD，METRIC……及对应的出接口;

　　2、这时，我们假定该数据是可路由的，并且已经顺利完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，如果没有ACL 的话，则直接从该口送出。如果该接口编入了ACL，那么就比较麻烦。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配，从上往下，逐条执行，当发现其中某条ACL匹配，则根据该ACL指定的操作对数据进行相应处理(允许或拒绝)，并停止继续查询匹配;当查到ACL的最末尾，依然未找到匹配，则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。

　　对于ACL，从工作原理上来看，可以分成两种类型：

　　1、入站ACL

　　2、出站ACL

　　上面的工作过程的解释是针对出站ACL的。它是在数据包进入路由器，并进行了路由选择找到了出接口后进行的匹配操作;而入站ACL是指当数据刚进入路由器接口时进行的匹配操作，减少了查表过程

　　并不能说入站表省略了路由过程就认为它较之出站表更好，依照实际情况而定：

　　如图所示，采用基本的ACL——针对源的访问控制

　　要求如下：

　　1、拒绝1.1.1.2访问3.1.1.2但允许访问5.1.1.2

　　2、拒绝3.1.1.2访问1.1.1.2但允许访问5.1.1.2

　　采用基本的ACL来对其进行控制

　　QUOTE:

　　R1(config)#access-list 1 deny 1.1.1.2 0.0.0.255

　　R1(config)#access-list 1 permit any

　　R1(config)#int e0

　　R1(config-if)#access-group 1 in

　　R2(config)#access-list 1 deny 3.1.1.2 0.0.0.255

　　R2(config)#access-list 1 permit any

　　R2(config)#int e0

　　R2(config-if)#access-group 1 in

　　从命令上来看，配置似乎可以满足条件。假定从1.1.1.2有数据包要发往3.1.1.2，进入路由器接口E0后，这里采用的是入站表，则不需查找路由表，直接匹配ACL，发现有语句 access-list 1 deny 1.1.1.2 0.0.0.255拒绝该数据包，丢弃;假定从3.1.1.2有数据包要发往1.1.1.2，同上。

　　当1.1.1.2要和5.1.1.2通信，数据包同样会被拒绝掉

　　当3.1.1.2要和5.1.1.2通信，数据包也会被拒绝掉

　　该ACL只能针对源进行控制，所以无论目的是何处，只要满足源的匹配，则执行操作。

　　如何解决此问题?

　　1、把源放到离目标最近的地方，使用出站控制;

　　2、使ACL可以针对目的地址进行控制。

　　第一项很好理解，因为标准的ACL只能针对源进行控制，如果把它放在离源最近的地方，那么就会造成不必要的数据包丢失的情况，一般将标准ACL放在离目标最近的位置!

　　第二种办法，要针对目标地址进行控制。因为标准ACL只针对源，所以，这里不能采用标准ACL，而要采用扩展ACL.但是它也有它的劣势，对数据的查找项目多，虽然控制很精确，但是速度却相对慢些。

　　简单比较以下标准和扩展ACL

　　标准ACL仅仅只针对源进行控制

　　扩展ACL可以针对某种协议、源、目标、端口号来进行控制

　　从命令行就可看出

　　标准：

　　Router(config)#access-list list-number

　　扩展：

　　Router(config)#access-list list-number protocol source {source-mask destination destination-mask} [operator operand] [established] [log]

　　Protocol—用来指定协议类型，如IP、TCP、UDP、ICMP以及IGRP等

　　Source and destination—源和目的，分别用来标示源地址及目的地址

　　Source-mask and destination-mask—源和目的的通配符掩码

　　Operator operand—It，gt，eq，neq(分别是小于、大于、等于、不等于)和一个端口号

　　Established—如果数据包使用一个已建连接(例如，具有ACK位组)，就允许TCP信息通过

　　为了避免过多的查表，所以扩展ACL一般放置在离源最近的地方

　　看完上面的内容后，那么大家可以看以下几道关于CISCO访问控制列表的例题：

　　1、What are two reasons that a network administrator would use access lists? (Choose two.)

　　A：to control vty access into a router

　　B：to control broadcast traffic through a router

　　C：to filter traffic as it passes through a router

　　D：to filter traffic that originates from the router

　　E：to replace passwords as a line of defense against security incursions

　　Answers：??A， C

　　注：该题主要考察CISCO考生对ACL作用的理解：网络管理员在网络中使用ACL的两个理由?

　　A选项指出了CISCO 访问列表的一个用法：通过VTY线路来访问路由器的访问控制;

　　ACL不能对穿越路由器的广播流量作出有效控制。

　　选项C也指明了ACL的另一个作用，那就是过滤穿越路由器的流量。这里要注意了，是“穿越”路由器的流量才能被ACL来作用，但是路由器本身产生的流量，比如路由更新报文等，ACL是不会对它起任何作用的：因为ACL不能过滤由路由器本身产生的流量，那么D也是错误的;

　　2、For security reasons， the network administrator needs to prevent pings into the corporate networks from hosts outside the internetwork. Which protocol should be blocked with access control lists?

　　A： IP

　　B： ICMP

　　C： TCP

　　D： UDP

　　Answers：??B

　　安全起见，网络管理员想要阻止来自Internet上的外部主机PING企业内部网络，哪种协议必须在访问列表中被阻塞掉?PING使用的是ICMP协议，在ACL中，我们可以自己来定义需要被允许或者拒绝某些协议的流量。该题选B

　　3、Refer to the exhibit. The access list has been configured on the S0/0 interface of router RTB in the outbound direction. Which two packets， if routed to the interface， will be denied? (Choose two.)

　　access-list 101 deny tcp 192.168.15.32 0.0.0.15 any eq telnet

　　access-list 101 permit ip any any

　　

　　访问控制列表

　　A：source ip address： 192.168.15.5; destination port： 21

　　B：source ip address：， 192.168.15.37 destination port： 21

　　C：source ip address：， 192.168.15.41 destination port： 21

　　D：source ip address：， 192.168.15.36 destination port： 23

　　E：source ip address： 192.168.15.46; destination port： 23

　　Correct Answers：??B， E

　　如图，在RTB上配置了访问列表，控制从S0/0口出去向外部的由192.168.15.32/29网段发起的telnet流量，其它流量允许通过。telnet使用23号端口，由此可以排除掉ABC三个选项。该题选择D，E.