路由器的访问控制ACL

　　ACL适用于所有的路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的，该技术初期仅在路由器上支持，现在已经支持三层交换机和二层交换机。ACL的定义是基于每一种协议的，如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据包。

　　ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。

　　ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　注意，并不是越多ACL就越好，因为ACL会消耗路由器的资源，影响路由器的性能

　　ACL执行过程：

　　ACL执行顺序是从上往下执行的，一个包只要遇到一条匹配的ACL语句后，就会停止后续语句的执行.一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送)，则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。如果设备使用了TCAM，比如aute U3052交换机，那么所有的ACL是并行执行的。举例来说，如果一个端口设定了多条ACL规则，并不是逐条匹配，而是一次执行所有ACL语句。

　　ACL分类

　　标准ACL：使用 1-99 以及1300-1999之间的数字作为表号。标准ACL只检查源地址，可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇(比如IP)的所有通信流量。标准ACL要尽量靠近目的端

　　扩展ACL：使用 100 ~ 199以及2000~2699之间的数字作为表号。扩展ACL通过启用基于IP源地址和目的地址、传输层协议(TCP、UDP)和应用端口号的过滤，您也可以使用逻辑运算，例如等于 (eq)、不等于 (neq)、大于 (gt) 和小于 (lt)，这样可以提供比标准ACL更细致、更高程度的数据流选择控制。扩展ACL要尽量靠近源端.

　　命名ACL是以列表名称代替列表编号来定义ACL，同样包括标准和扩展两种列表。命名ACL还可以被用来从某一特定的ACL中删除个别的控制条目，这样可以使网络管理员方便修改ACL。在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。命名ACL中的允许为每一条目添加sequnce number，这样更加简化我们修改和维护(推荐使用)。注意其实

　　标准Access-list1 等于标准命名式ip access-liststandard 1 ;扩展Access-list 100等于扩展命名式ip access-list extended 100

　　动态ACL：用户必须通过提供用户名和口令，开启一个到路由器的telnet会话。(也可以配置路由器，让其只需要口令，而不需要用户名，但并不推荐这样做)在用户被认证之后，路由器会自动关闭telnet会话，并自动将一个动态访问表项置于某个访问表中，以允许源地址为认证用户工作站地址的报文通过。这样，我们可以在安全边界上配置访问表，只允许那些能够通过用户认证的工作站才能发送向内的报文。这种配置很像网页认证后才能上网的行为。注意当用户验证后，telnet就会被关闭，这样会带来一个问题，网络管理员将不能通过Telnet对路由进行管理，解决的方法是使用rotary命令开启其他Telnet端口,如”rotary 1″命令开启的端口是3001，”rotary 2″开启3002以此类推。

　　基于时间的ACL：就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。要配置这样的时间范围，就要通过time-range来实现的，在time-range中定义好时间，再将此time-range跟在某ACL的条目之后，那么此条目就在该时间范围内起作用，其它时间是不起作用的。在定义time-range时，常用的时间简单分为两种，第一种叫做绝对时间(absolute)，即这个时间只生效一次，比如2014年9月1月12:00;另一种时间叫做周期时间(periodic)，即这个时间是会多次重复的，比如每周一，或者每周一到周五

　　自反(reflexive)访问列表基于上层会话(session)信息过滤数据包，它允许起源于内网(受保护网络)的数据流通过路由器，外网(非信任网络)响应起源于内网的会话的数据流也可以通过路由器，但禁止起源于外网的数据通过路由器进入内网。自反ACL只使用扩展命名IP访问列表定义，不能使用代码或标准命名访问列表定义。 自反ACL和其他ACL相似：包含一系列条件语句，并安装条件语句的顺序逐一检查，一旦某个条件匹配，就不再检查后面的条件。 不同的是，自反ACL只包含临时的条件语句，当一个IP会话发起时，这些临时条件自动建立;当会话结束，这些临时条件将被路由器删除。自反ACL不能直接应用在接口上，需要由另一个扩展命名IP访问列表调用， 另外，自反ACL不包含系统隐含的deny all 语句。自反ACL只能在命名的扩展ACL里定义

　　更多资讯，请访问郑州网络工程师培训机构