現(xiàn)在網(wǎng)絡(luò)是越來(lái)越復(fù)雜，網(wǎng)絡(luò)數(shù)據(jù)也呈現(xiàn)出多樣化，作為網(wǎng)絡(luò)管理員必須能夠拒絕不良的訪問(wèn)，同時(shí)又要允許正常的訪問(wèn)。當(dāng)然現(xiàn)在有很多技術(shù)都可以實(shí)現(xiàn)，我們今天來(lái)看在企業(yè)網(wǎng)絡(luò)管理中怎么利用Cisco路由ACL來(lái)實(shí)現(xiàn)訪問(wèn)控制。

路由器為了過(guò)濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過(guò)，什么樣的數(shù)據(jù)包不應(yīng)該通過(guò);這些規(guī)則就是通過(guò)ACL來(lái)定義的。

ACL全稱(chēng)是：AccessControlList，中文就是訪問(wèn)控制列表。ACL是由permit或deny語(yǔ)句組成的一系統(tǒng)有順序的規(guī)則組成，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、端口號(hào)等來(lái)描述。ACL通過(guò)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，并將規(guī)則應(yīng)用到路由器的某個(gè)接口上，這樣路由器就可以根據(jù)這些規(guī)則來(lái)判斷哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全性，因此我們總結(jié)ACL主要目的很簡(jiǎn)單就是允許、拒絕數(shù)據(jù)包通過(guò)路由器;允許或拒絕Telnet會(huì)話的建立。

當(dāng)然路由器上默認(rèn)是沒(méi)有ACL的也就是說(shuō)默認(rèn)情況下任何數(shù)據(jù)包都可以通過(guò)。就像如果你們單位沒(méi)有保安，那么任何人的出入都不會(huì)受到限制。那么就會(huì)給單位的財(cái)產(chǎn)帶來(lái)不安全的因素。因此，可以在單位門(mén)口設(shè)置一個(gè)保安部，那么這個(gè)保安就會(huì)看如果是本單位的人進(jìn)入，直接通過(guò)，如果不是就要盤(pán)問(wèn)一番，如果是“良民”就大大的放行，如果是“日軍”，就統(tǒng)統(tǒng)的“八個(gè)牙路”那么同理我們也可以在路由器的某個(gè)接口上設(shè)置這么一個(gè)保安，檢查通過(guò)該接口上的每一個(gè)數(shù)據(jù)包，符合某個(gè)條件的通過(guò)，或者是符合某個(gè)條件的不允許通過(guò)。從而實(shí)現(xiàn)對(duì)數(shù)據(jù)包過(guò)濾的作用。

我們所說(shuō)的ACL分為兩種：標(biāo)準(zhǔn)和擴(kuò)展

標(biāo)準(zhǔn)ACL，如下圖所示：

▲標(biāo)準(zhǔn)ACL

大家從圖中可以看出，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包中的源地址，至于數(shù)據(jù)幀頭是HDLC，數(shù)據(jù)報(bào)頭是TCP，標(biāo)準(zhǔn)ACL統(tǒng)統(tǒng)不管，就認(rèn)一個(gè)源IP頭，也就是說(shuō)標(biāo)準(zhǔn)ACL只會(huì)檢查IP數(shù)據(jù)包的源地址，然后根據(jù)是否滿(mǎn)足條件來(lái)決定是允許還是拒絕整個(gè)協(xié)議集。

擴(kuò)展ACL，如下圖所示：

▲擴(kuò)展ACL

擴(kuò)展ACL比標(biāo)準(zhǔn)ACL檢查的東西要多，檢查源地址、目的地址、協(xié)議以及相應(yīng)端口;即擴(kuò)展ACL可以結(jié)合這四個(gè)參數(shù)來(lái)決定是允許還是拒絕某個(gè)特殊的協(xié)議如TCP，UDP，ICMP等等。所以擴(kuò)展ACL的功能比標(biāo)準(zhǔn)ACL的功能要強(qiáng)!

那么如何定義標(biāo)準(zhǔn)或者是擴(kuò)展ACL呢?

ACL的定義可以分為兩類(lèi)：1使用數(shù)字號(hào)碼范圍來(lái)定義2使用名字來(lái)定義

1.使用數(shù)字號(hào)碼范圍定義：

標(biāo)準(zhǔn)ACL的范圍是1-99,擴(kuò)展范圍1300-1999

擴(kuò)展ACL范圍是100-1999,擴(kuò)展范圍2000-2699

在此為什么使用擴(kuò)展范圍呢，主要是因?yàn)楝F(xiàn)在的網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)的復(fù)雜性都在增加，原來(lái)的號(hào)碼范圍可能已經(jīng)不能滿(mǎn)足需要，所以推出擴(kuò)展范圍。

2.使用名字來(lái)定義

我們前面所介紹的標(biāo)準(zhǔn)ACL還是擴(kuò)展ACL有一個(gè)使用起來(lái)很不方便的地方，就是如果在設(shè)置ACL的時(shí)候，如果發(fā)現(xiàn)中間有某個(gè)設(shè)置的不正確，希望刪除某一條，是做不到的，那么就可以使用命名ACL，可以為每個(gè)ACL定義一個(gè)形象的名字。好處是可以對(duì)ACL中的每一個(gè)具體的規(guī)則進(jìn)行處理，但如果是使用數(shù)字的話，只能是刪除全部規(guī)則，不能刪除其中一個(gè)規(guī)則。這樣的話在大型網(wǎng)絡(luò)中就不是很方便，而使用命名ACL可以解決這個(gè)問(wèn)題：語(yǔ)法也很簡(jiǎn)單：

(config)#ipaccess-listextended/standareddufei注意：標(biāo)準(zhǔn)和擴(kuò)展都可以創(chuàng)建命名ACL

然后在創(chuàng)建規(guī)則：如

Permit10.10.10.100.0.0.0

Perimit20.20.20.20.0.0.0.0

Deny30.30.30.300.0.0.0

那如果我們希望刪除其中一個(gè)如***個(gè)，則使用nopermit10.10.10.100.0.0.0即可，其他的仍然存在。

訪問(wèn)控制列表還涉及到一個(gè)進(jìn)站和出站的問(wèn)題，也就是數(shù)據(jù)包的流向是進(jìn)方向還是出方向。當(dāng)然是進(jìn)還是出要看具體情況，有的時(shí)候可以應(yīng)用在任何一個(gè)上面。有的時(shí)候就必須唯一確定。

我們看一下出站方向上的ACL應(yīng)用，我們還是從一個(gè)圖入手，如下圖所示：

▲ACL應(yīng)用

分析：

1.數(shù)據(jù)包通過(guò)入站接口進(jìn)入路由器，此時(shí)開(kāi)始查找路由表中是否有匹配的路由條目，如果沒(méi)有，則直接將其丟棄。這一步和ACL還沒(méi)有任何關(guān)系，只是沒(méi)有相應(yīng)路由，就無(wú)法轉(zhuǎn)發(fā)數(shù)據(jù)包，所以在此也需要說(shuō)明一點(diǎn)，ACL也必須在數(shù)據(jù)包能夠被路由的基礎(chǔ)之上才起作用。

2.如果路由表中有相應(yīng)的路由條目才被路由到一個(gè)相應(yīng)的接口上。

3.查看該接口是否有ACL的配置，如果沒(méi)有則立即被轉(zhuǎn)發(fā)，如果設(shè)置了ACL，則檢查該數(shù)據(jù)包是否匹配ACL規(guī)則。如果匹配并規(guī)則中明確該數(shù)據(jù)包可以正常轉(zhuǎn)發(fā)。否則丟棄!注意：如果ACL測(cè)試規(guī)則中沒(méi)有明確指定數(shù)據(jù)包通過(guò)，則說(shuō)明此數(shù)據(jù)包沒(méi)有與相關(guān)的規(guī)則匹配，那么還有一個(gè)隱含的規(guī)則就是denyall,這一點(diǎn)和微軟的ISA是一樣的，安裝好防火墻就有一個(gè)默認(rèn)規(guī)則拒絕一切，可以說(shuō)是“六親不認(rèn)”!

下面咱們就來(lái)細(xì)說(shuō)一下ACL規(guī)則測(cè)試，如下圖：

▲ACL規(guī)則

如圖所示，在ACL中可以有多個(gè)規(guī)則。如圖：假設(shè)在ACL中有三個(gè)明確規(guī)則，則數(shù)據(jù)包進(jìn)入后首先匹配***個(gè)規(guī)則，如果數(shù)據(jù)包匹配該規(guī)則并設(shè)置為permit，則數(shù)據(jù)包被轉(zhuǎn)發(fā)，如果數(shù)據(jù)包也匹配該規(guī)則，但卻被設(shè)置為deny，則數(shù)據(jù)包直接被丟棄。

如果***個(gè)規(guī)則不匹配則該數(shù)據(jù)包繼續(xù)向前走，此時(shí)再檢查是否匹配第二個(gè)規(guī)則，如果匹配并設(shè)置為permit,則該數(shù)據(jù)包被轉(zhuǎn)發(fā)，如果匹配但被設(shè)置為deny則被丟棄。

如果第二個(gè)規(guī)則也不匹配則繼續(xù)向前走，此時(shí)遇到第三個(gè)規(guī)則，同時(shí)還是檢查是否匹配，如果匹配并設(shè)置為permit，同樣也可以被轉(zhuǎn)發(fā)，如果被設(shè)置為deny，則被丟棄。如果第三個(gè)是規(guī)則是***一個(gè)，該數(shù)據(jù)包都沒(méi)有匹配，

注意：

1.規(guī)則***千萬(wàn)不要忘記還有一個(gè)隱含規(guī)則：DenyALL!!!

2.在此還需要注意，Cisco的ACL規(guī)則完全是按照規(guī)則編寫(xiě)的順序進(jìn)行的。所以最精確的規(guī)則應(yīng)當(dāng)寫(xiě)在最上方，否則將被大范圍的規(guī)則所覆蓋而導(dǎo)致設(shè)置失效。如拒絕一臺(tái)主機(jī)訪問(wèn)外網(wǎng)，必須先寫(xiě)拒絕這一臺(tái)，然后再寫(xiě)運(yùn)行所有，那如果順序錯(cuò)了，運(yùn)行所有在上面，拒絕一臺(tái)在下面，系統(tǒng)會(huì)檢查一個(gè)數(shù)據(jù)包，發(fā)現(xiàn)任何一個(gè)數(shù)據(jù)包都可以通過(guò)，就直接轉(zhuǎn)發(fā)了，下面的一條就不起作用了!

3.必須先創(chuàng)建ACL，再應(yīng)用到相應(yīng)的接口上

4.ACL不能過(guò)濾路由器自己產(chǎn)生的數(shù)據(jù)。

ACL理論東西沒(méi)有太多，也很簡(jiǎn)單，下面咱們來(lái)看一下標(biāo)準(zhǔn)控制列表的配置過(guò)程，其實(shí)不論是標(biāo)準(zhǔn)還是擴(kuò)展ACL的配置主要就是兩個(gè)命令

1設(shè)置訪問(wèn)控制列表

Router(config)#access-listacl_numberpermit|deny{}

2在接口上應(yīng)用訪問(wèn)控制列表

Ipaccess-groupacl_numberin|out

這里可以是某個(gè)接口，也可以是VTY，Qos等應(yīng)用中。其中in代表是入站方向，out代表的是出站方向。

那么標(biāo)準(zhǔn)ACL就顯得更簡(jiǎn)單了，如：

Access-listacl_number{permit|deny}source[mask]

其中acl_number指的是ACL編號(hào)范圍：1-99或1300-1999

Permit表示通過(guò)

Deny表示拒絕

Source代表的是源地址，可以是某一個(gè)主機(jī)或是一個(gè)網(wǎng)段

Mask掩碼，但需要注意的是ACL支持的是反掩碼，所以在設(shè)置的時(shí)候一定要注意。

但我們有時(shí)候可能會(huì)在source前面加上host或是any，這又是什么用意呢?

Host不是必須的，但是當(dāng)匹配一個(gè)特定的主機(jī)地址時(shí)是非常有用的。也就是使用host的時(shí)候是匹配的某一個(gè)具體的主機(jī)，是一個(gè)精確匹配，此時(shí)的反掩碼則0.0.0.0

如：

1Access-list10permit10.10.10.00.0.0.255表示的是一個(gè)網(wǎng)段10.10.10.0，表示匹配該網(wǎng)段的所有數(shù)據(jù)報(bào)文。

2access-list10permit10.10.10.100.0.0.0表示匹配源地址是10.10.10.10這一個(gè)具體的主機(jī)，這個(gè)語(yǔ)句可以寫(xiě)成access-list10permithost10.10.10.10

Any也不是必須的，但是如果是匹配所有報(bào)文時(shí)是非常有用的，表示匹配所有的地址，是0.0.0.0255.255.255.255的簡(jiǎn)寫(xiě)

如：

Access-list10permit0.0.0.0255.255.255.255表示所有數(shù)據(jù)包通過(guò)，此語(yǔ)句可以寫(xiě)成：

Access-list10permitany#p#

下面結(jié)合幾個(gè)小實(shí)例來(lái)看一下標(biāo)準(zhǔn)ACL的具體配置過(guò)程：

我們所參考的拓?fù)鋱D如下：

▲實(shí)驗(yàn)拓?fù)鋱D

我們結(jié)合這個(gè)拓?fù)鋪?lái)做三個(gè)實(shí)驗(yàn)：

實(shí)例1：我們只允許192.168.10.0與192.168.20.0兩個(gè)網(wǎng)段可以通訊

Router>en

Router#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#interfacefa0/0

Router(config-if)#ipaddress192.168.10.1255.255.255.0

Router(config-if)#noshutdown

Router(config-if)#exit

Router(config)#interfacefa0/1

Router(config-if)#ipaddress192.168.20.1255.255.255.0

Router(config-if)#noshutdown

Router(config-if)#exit

Router(config)#interfacee1/0

Router(config-if)#ipaddress192.168.30.1255.255.255.0

Router(config-if)#noshutdown

現(xiàn)在默認(rèn)情況下，三個(gè)網(wǎng)段之間是可以進(jìn)行正常通訊的，如圖：

▲配置前

那么下面我們?cè)趺醋霾拍苤蛔?0.0和20.0通訊呢，具體配置如下：

Router>enable

Router#conft

Router(config)#access-list1permit192.168.10.00.0.0.255

Router(config)#access-list2permit192.168.20.00.0.0.255

Router(config)#interfacefa0/0

Router(config-if)#ipaccess-group2out

Router(config-if)#exit

Router(config)#interfacefa0/1

Router(config-if)#ipaccess-group1out

Router(config-if)#exit

Router(config)#

然后測(cè)試如下：

▲配置后

剛才我們是匹配的整個(gè)網(wǎng)段，下面咱們看如何匹配一個(gè)具體的主機(jī)：

實(shí)例2：我們不允許192.168.10.10可以訪問(wèn)非192.168.20.0網(wǎng)段，也就是不允許192.168.10.10這一臺(tái)機(jī)器訪問(wèn)192.168.30.0網(wǎng)段

具體配置如下：

Router>enable

Router#conft

Router(config)#access-list1deny192.168.10.100.0.0.0

Router(config)#access-list1permitany

Router(config)#interfacee0/2

Router(config-if)#ipaccess-group1out

此時(shí)再來(lái)測(cè)試：

▲禁止某一主機(jī)

大家可以看到和192.168.20.0網(wǎng)段通訊沒(méi)有問(wèn)題，但是和192.168.30.0網(wǎng)段就不行，這就是對(duì)某一臺(tái)機(jī)器進(jìn)行精確匹配，那么如果我們把192.168.10.10的IP改為192.168.10.100又如何呢?

▲調(diào)整IP

發(fā)現(xiàn)又可以通訊了，因?yàn)楹臀覀兯O(shè)置的規(guī)則不匹配了!

同時(shí)我們也是通過(guò)幾個(gè)實(shí)例來(lái)具體看一下擴(kuò)展ACL的配置，關(guān)于標(biāo)準(zhǔn)ACL與擴(kuò)展ACL的區(qū)別，我們?cè)谇懊嬉呀?jīng)做了介紹，在此不再累述，下面看具體的匹配命令;

1創(chuàng)建ACL：

Access-listACL_numberpermit|denyprotocolsourewildcard[port]destinationwaildcard[port]

大家一看就覺(jué)得比標(biāo)準(zhǔn)ACL要復(fù)雜點(diǎn)，這要可以指定源地址，目標(biāo)地址，使用的協(xié)議以及使用的端口號(hào)等，當(dāng)然還可以使用log來(lái)指定日志服務(wù)器，在此不作講解!

2在接口上應(yīng)用ACL

Ipaccess-groupACL_numberin|out

下面咱們還是通過(guò)具體的實(shí)例來(lái)掌握擴(kuò)展ACL的應(yīng)用

實(shí)例3：我們拒絕192.168.20.0telnet到192.168.10.0上的任何一個(gè)主機(jī)上!

▲拓?fù)鋱D

具體配置如下：

Router>enable

Router#confterminal

Router(config)#access-list101denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq23

Router(config)#access-list101permitipanyany

注意：默認(rèn)有一個(gè)denyall

接下來(lái)要應(yīng)用以相應(yīng)的接口上，例如出端口E0/0

Router(config)#interfacee0/0

Router(config-if)#ipaccess-group101out

配置還是很簡(jiǎn)單的!

只不過(guò)需要注意有的服務(wù)是有輔助端口的，所以一定要把輔助端口一起封!

如，如果需要封FTP服務(wù)器，則需要使用兩條語(yǔ)句：

Router(config)#access-list100denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq21

Router(config)#access-list100denytcp192.168.20.00.0.0.255192.168.10.00.0.0.255eq20

查看某上端口上應(yīng)用的訪問(wèn)控制列表，我們可以使用命令：show ip interface接口，如圖：

▲查看接口

還可以查看所有的訪問(wèn)控制列表：show access-lists

▲查看ACL表#p#

反向ACL的用途

反向訪問(wèn)控制列表屬于ACL的一種高級(jí)應(yīng)用。一般使用在源訪問(wèn)對(duì)方可以，但反之不行。如A訪問(wèn)B節(jié)點(diǎn)可以，但是B不能訪問(wèn)A節(jié)點(diǎn)。如我們?cè)赗outer1上可以telnet到Router2，但Router2不能telnet1上。那有人可能要問(wèn)這是怎么實(shí)現(xiàn)的，在這里我們就以ping為例講一下其中的原理，我們知道Ping使用的是icmp協(xié)議，但同樣是icmp協(xié)議，它所使用的類(lèi)型是不同的，簡(jiǎn)單說(shuō)我們ping對(duì)方，是發(fā)出一個(gè)icmprequest類(lèi)型的數(shù)據(jù)包，但是對(duì)方回來(lái)的是則是攜帶了我們r(jià)equest標(biāo)志的reply類(lèi)型的包，所以我們?nèi)绻幌Ｍ鸄pingB,不讓BpingA，就可以這么判斷，如果ApingB，發(fā)現(xiàn)回來(lái)的ICMP包是攜帶了A的request標(biāo)簽則允許通過(guò)，否則拒絕，就OK了!也可以用于保護(hù)網(wǎng)絡(luò)的安全性，如我們只能由內(nèi)部網(wǎng)絡(luò)始發(fā)的，外部網(wǎng)絡(luò)的響應(yīng)流量可以進(jìn)入，由外部網(wǎng)絡(luò)始發(fā)的流量如果沒(méi)有得到一個(gè)明確的允許，是禁止進(jìn)入的。說(shuō)白了，就是內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)，但外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)，如圖所示：

▲拓?fù)鋱D

如，咱們看一個(gè)實(shí)例：我們希望內(nèi)網(wǎng)的192.160.10.0網(wǎng)段可以訪問(wèn)(ping)外網(wǎng)的192.160.20.0，但是外網(wǎng)不能ping內(nèi)網(wǎng)。這里需要使用ReflexiveACL技術(shù)，基中包含兩個(gè)部分，一部分是outbound的配置，另一部分是inbound的配置。工作流程：由內(nèi)網(wǎng)始發(fā)的數(shù)據(jù)到達(dá)路由器后，路由器會(huì)生成一個(gè)三層和四層的臨時(shí)訪問(wèn)表，在此會(huì)將其中的一些參數(shù)作一些更改，如源IP和目標(biāo)IP，源端口和目標(biāo)端口適當(dāng)作些對(duì)調(diào)操作。這樣的話，當(dāng)數(shù)據(jù)包從外網(wǎng)再進(jìn)入內(nèi)網(wǎng)的時(shí)候會(huì)檢查此表，如果匹配上，則路由器才會(huì)允許此數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)。

ACL應(yīng)用位置：

標(biāo)準(zhǔn)的ACL的應(yīng)用位置應(yīng)該是離目的近的地方，而擴(kuò)展的ACL則應(yīng)該是離源近的地方對(duì)于標(biāo)準(zhǔn)的ACL來(lái)說(shuō),僅定義了它的源,如果你把它放在離源近的地方,那么它會(huì)把所有該源的流量給阻斷,或者產(chǎn)生其他的效果.為了避免這種情況產(chǎn)生,所以將標(biāo)準(zhǔn)的ACL放置在離目標(biāo)較近的地方,也就是遠(yuǎn)源端.但是對(duì)于擴(kuò)展的來(lái)說(shuō),我們定義了它的源IP,目標(biāo)IP,源端口,目標(biāo)端口,以及協(xié)議,這種完全可以進(jìn)行精確的匹配,所以不用擔(dān)心它會(huì)對(duì)不需要控制的流量產(chǎn)生影響,而將其放在近源端口,這樣也可以在一定程度上面節(jié)約帶寬。

基于時(shí)間的ACL：

顧名思義是根據(jù)時(shí)間對(duì)ACL進(jìn)行配置，如我們單位規(guī)定禁止在上網(wǎng)班時(shí)間使用QQ，MSN等等操作。如：我們禁止在上午9:00--下午17:00訪問(wèn)互聯(lián)網(wǎng)上的Web站點(diǎn)即(http:80/https:443)

基于時(shí)間的訪問(wèn)控制列表由兩部分組成，***部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問(wèn)控制列表定義規(guī)則。這里我們主要講解下定義時(shí)間段，具體格式如下：

time-range時(shí)間段名稱(chēng)

absolutestart[小時(shí)：分鐘][日月年][end][小時(shí)：分鐘][日月年]

當(dāng)然也可以使用Periodic：為周期性重復(fù)使用的時(shí)間范圍的定義。完整格式為periodic日期關(guān)鍵字開(kāi)始時(shí)間結(jié)束時(shí)間

例如：time-rangedufei

absolutestart9:001may2009end12:001may2010

意思是定義了一個(gè)時(shí)間段，名稱(chēng)為dufei，并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為2009年5月1日9點(diǎn),結(jié)束時(shí)間為2010年5月1日中午9點(diǎn)。我們通過(guò)這個(gè)時(shí)間段和擴(kuò)展ACL的規(guī)則結(jié)合就可以指定出針對(duì)自己公司時(shí)間段開(kāi)放的基于時(shí)間的訪問(wèn)控制列表了。當(dāng)然我們也可以定義工作日和周末。下面看一個(gè)小例子：

目的：我們部分規(guī)定只允許192.168.15.0網(wǎng)段的用戶(hù)在周末訪問(wèn)192.168.10.10(娛樂(lè)服務(wù)器)上的FTP資源，工作時(shí)間不能下載該FTP資源。

路由器配置命令：

ime-rangeftptime定義時(shí)間段名稱(chēng)為ftptime

periodicweekend00:00to23:59定義具體時(shí)間范圍，為每周周末(6，日)的0點(diǎn)到23點(diǎn)59分。當(dāng)然可以使用periodicweekdays定義工作日或跟星期幾定義具體的周幾。

access-list101denytcpany192.168.10.100.0.0.0eqftptime-rangeftptime設(shè)置ACL

access-list101permitipanyany設(shè)置ACL，容許其他時(shí)間段和其他條件下的正常訪問(wèn)。

inte1

ipaccess-group101out應(yīng)用ACL

在VTY上應(yīng)用標(biāo)準(zhǔn)ACL：

我們可以利用ACL來(lái)控制對(duì)VTY的訪問(wèn)，ACL可以用在VTY上，我們?cè)诘诙?jié)中介紹過(guò)VTY，其實(shí)也就是對(duì)Cisco設(shè)備的Telnet操作，一般我們說(shuō)可以將ACL應(yīng)用在5個(gè)VTY虛擬終端上。但是要注意的是Cisco是否僅支持5個(gè)VTY，這要根據(jù)路由器的版本和內(nèi)存和決定，所以在設(shè)置ACL的時(shí)候一定要先弄清楚VTY的數(shù)量)

將ACL應(yīng)用在VTY上，可以實(shí)現(xiàn)不考慮路由器的物理接口的拓?fù)鋪?lái)實(shí)現(xiàn)對(duì)路由器的遠(yuǎn)程控制。但是要注意的是在此只能使用標(biāo)準(zhǔn)ACL。

那么具體設(shè)置命令也很簡(jiǎn)單：我們前面是在某個(gè)接口上設(shè)置ACL，所以必須使用interface命令進(jìn)行接口模式，而在此需要進(jìn)入vty線路模式。在應(yīng)用的時(shí)候是使用access-class而不是ipaccess-group;我們來(lái)具體看一下：

1進(jìn)行線路模式

命令：linevtyvty-_number|vry_range

在此可以一個(gè)具體終端或指定的一個(gè)地址范圍，一定要注意事先查清VTY的數(shù)量

2應(yīng)用ACL：

命令：access-classACL_numberin|out

我們來(lái)看一個(gè)具體的配置實(shí)例：

實(shí)例：我們拒絕R3路由器遠(yuǎn)程Telnet到R1路由器上

▲實(shí)驗(yàn)拓?fù)鋱D

配置前提是已經(jīng)使用OSPF協(xié)議實(shí)現(xiàn)了全網(wǎng)互通!

R1路由器的配置：

R1#enable

R1#conft

R1(config)#interfacefa0/1

R1(config-if)#ipaddress192.168.10.1255.255.255.0

R1(config-if)#noshutdown

R1(config-if)#exit

R1(config)#interfacefa0/0

R1(config-if)#ipaddress192.168.100.100255.255.255.0

R1(config-if)#exit

R1(config)#routerospf1

R1(config-router)#network192.168.100.00.0.0.255area0

R1(config-router)#network192.168.10.00.0.0.255area0

R1(config-router)#end

至于R2與R3的配置在此不再詳細(xì)描述!

我們可以在R1上查看路由信息：

▲R1上的路由信息

并且實(shí)現(xiàn)全網(wǎng)全通：

▲全網(wǎng)通暢

再往下，我們準(zhǔn)備開(kāi)啟R1的telnet功能：

R1#configuret

R1(config)#usernamedufeipassworddufei

R1(config)#linevty04

R1(config-line)#loginlocal

此時(shí)我們到R3上遠(yuǎn)程Telnet測(cè)試是否成功!

R3>enable

R3#tel

R3#telnet192.168.10.1

Trying192.168.10.1...Open

UserAccessVerification

Username:dufei

Password:

R1>

▲telnet登錄

OK!登錄成功，下面我們就來(lái)看一下如何拒絕R3的遠(yuǎn)程Telnet.

R1(config)#access-list10denyhost192.168.20.2

R1(config)#access-list10permitany

R1(config)#linevty04

R1(config-line)#access-class10in

R1(config-line)#exit

然后R3再次Telnet到R1上，見(jiàn)到下圖

▲成功登錄

但是我們使用R2是可以Telnet到R1上的，如圖所示：

▲ACL設(shè)置生效

至此，實(shí)驗(yàn)完畢，ACL的基本應(yīng)用就這么簡(jiǎn)單。