用户名：niejinjin
访问量：1087
注册日期：
阅读量：1297
阅读量：3317
阅读量：443394
阅读量：1129276
51CTO推荐博文
访问控制列表的基本原理：
ACL使用包过滤技术，在路由器上读取OSI七层模型的第三层及第四层包头中的信息，如源地址。目的地址。源端口、目的端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制列表的目的。
ACL的作用：控制对特定网络资源的访问。
访问控制列表的类型：
（1）&&&&&& 基于数字的：（1）标准的：1-99、
&&&&&&&&&&&&&&&&&& （2）扩展的： 100-199、
&（2）基于名称的：（1）标准：standard
&&&&&&&&&&&&&&&&& （2）扩展：extended
(3)高级ACL:(1)基于时间的ACL
&&&&&&&&&&& (2)单向ACL
&&&&&&&&&&& (3)动态ACL
1.标准访问控制列表：
&标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的表号是：1-99、
2、扩展访问控制列表：
&扩展访问控制列表根据数据包的源ip地址、目的ip地址、指定协议、端口和标志来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199、
3.命名访问控制列表：
命名访问控制列表允许在标准和扩展访问列表中使用名称代替表号。
4.定时访问控制列表：
定时访问控制列表提供基于时间的附加控制特性，定义在什么时间允许或拒绝数据包。
访问控制列表的工作原理：
（1）&&&&&& 如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。
（2）&&&&&& 如果不匹配第一条规则，则依次往下检查，直到有任何一条规则匹配，路由器将决定该数据包允许通过或拒绝通过。
（3）&&&&&& 如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。
ACL的应用有两个方向：
（1）&&&&&& 出：已经过路由器的处理，正离开路由器接口的数据包。
（2）&&&&&& 入：已到达路由器接口的数据包，将被路由器处理。
一个端口的一个方向只能应用一个ACL，后应用的生效
标准访问控制列表的配置：(标准ACL应用在离目的地最近的路由器)
Router（config）#access-list access-list-number {permit | deny} source {source-wildcard}
删除已建立的标准ACL:
Router(config)#no access-list access-list-number
将ACL应用于接口：
Router(config)#ip access-group access-list-number {in| out}
在接口上取消ACL的应用：
Router(config)#no ip access-group access-list-number {in |Out }
扩展访问控制列表的配置：（应该把扩展ACL应用在离源地址最近的路由器上）
Router(config)#access-list access-list-number {permit | deny } protocol {source source-wildcard destination destination-wildcard } [operator operan ]
应用于标准的一样
命名访问控制列表的配置：
Router(config)# ip access-list {standard | extended} access-list-name
Router（config）#no ip access-list {standard | extended } access-list-name
定时访问控制列表：
定义时间范围的名称：
Router (config)#time-range time-range-name
定义一个时间周期：
Router(config-time-range)#periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
定义一个绝对时间：
Router(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]
在扩展中引用时间范围：
Router(config)#access-list access-list-number {permitted |deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] time-range time-range-name
扩展ACL与标准ACL一样不能删除单条acl语句，只能删除整个ACL,而命名ACL可以删除单条ACL语句
在路由器上查找时间的命令：show clock
改时间的命令：clock set hh:mm day month year
第七章讨论课
网络结构一半分为三层，分别为：
（1）&&&&&& 核心层：核心层为网络的骨干部分，要有高的转发速率、高稳定性和高可靠性，并提供路由
（2）&&&&&& 汇聚层：汇聚层是多台接入层交换机的汇聚点，有时承担了三层交换机和路由转发的功能，并向上提供到核心层的链路
（3）&&&&&& 接入层：接入层为终端设备的进入，其目的是允许用户接入。本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：未分类┆阅读(0)┆评论(0)思科与华为访问控制列表（ACL）的区别
我的图书馆
思科与华为访问控制列表（ACL）的区别
网络基础知识
&&&&& 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。访问控制列表是由permit |
deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。
一、思科与华为访问控制列表分类的区别
1、在华为路由器里访问控制列表的用途，可以分为三类：
1）基本的访问控制列表（basic acl）
&&&&&& 基本访问控制列表只能使用源地址信息，做为定义访问控制列表的规则的元素。通过上面小节介绍的acl的命令，可以创建一个基本的访问控制列表，同时进入基本访问控制列表视图，在基本访问控制列表视图下，可以创建基本访问控制列表的规则。
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]
2）高级的访问控制列表（advanced acl）
&&&&&& 高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性，例如TCP的源端口、目的端口，ICMP协议的类型、code等内容定义规则。可以利用高级访问控制列表定义比基本访问控制列表更准确、更丰富、更灵活的规则。
rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port
operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]
3）基于接口的访问控制列表（interface-based acl）
&&&&&& 基于接口的访问控制列表，是一种特殊的访问控制列表，可以根据接收报文的接口指定规则。
rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]
2、在思科路由器里访问控制列表常见的有两类
1）标准的访问控制列表
跟华为的基本访问控制列表一样，只检查数据包的源地址。
access-list ACL号 permit|deny host ip地址
2）扩展的访问控制列表
跟华为的高级访问控制列表类似，既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。
access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
3）除了上述两种访问控制列表之外，思科路由器中还有：基于名称的访问控制列表、反向访问控制列表、基于时间的访问控制列表等，但在日常维护中比较少使用。
二、思科与华为访问控制列表编号范围的区别
访问控制列表的使用用途是依靠数字的范围来指定的。
1、在华为路由器里，范围的访问控制列表是基本的访问控制列表，范围的访问控制列表是高级的访问控制列表，是基于接口的访问控制列表。
2、在思科路由器里，标准的访问控制列表使用 1～99 以及之间的数字作为表号，扩展的访问控制列表使用 100～199以及之间的数字作为表号。
三、思科与华为访问控制列表匹配顺序的区别
1、华为路由器访问控制列表匹配规则
&&&&&& 一个访问控制列表可以由多条“permit | deny”语句组成，每一条语句描述的规则是不相同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。
有两种匹配顺序：
1）配置顺序
&&&&&& 配置顺序，是指按照用户配置ACL的规则的先后进行匹配。
2）自动排序
&&&&&&&自动排序使用“深度优先”的原则。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机：129.102.1.1，而129.102.1.1
0.0.255.255则指定了一个网段：129.102.1.1～129.102.255.255，显然前者在访问控制规则中排在前面。具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。
&&&&& 使用那一种匹配顺序，在创建ACL的时候就可以指定。
acl [ number ] acl-number [ match-order { config | auto } ]
2、思科路由器访问控制列表匹配规则
&&&&&& 思科路由器一般情况下采用顺序匹配方式，只要一条满足就不会继续查找，另外在思科的访问控制列别中，最后一条是隐含拒绝的，即前面所有条目都不匹配的话，则默认拒绝。任何条件下只给用户能满足他们需求的最小权限。
TA的最新馆藏[转]&
喜欢该文的人也喜欢扫二维码下载作业帮
2亿+学生的选择
下载作业帮安装包
扫二维码下载作业帮
2亿+学生的选择
ACL是什么?我想自己具体了解下ACL的应用以及工作原理,以前没接触过,现在想自己做一下,请问,从哪里着手?怎么写?请问下：我刚开始接触网编,很多东西都不明白,由于时间比较紧,能告诉下我应该学习哪些命令吗?具体步骤是什么?
nwOP01JJ09
扫二维码下载作业帮
2亿+学生的选择
ACL是访问控制列表的意思.它的主要作用是过滤掉外面没有授权的IP地址来访问内部的资源从而做到让内部主机或服务器更安全.访问控制列表主要是在路由器上配置的,你首先要配置一个地址池pool把你允许访问内部的IP地址放入池内其它地址过滤掉.至于怎么配置关于这方面的书非常多建议你去买一本网络设备配置与管理的书看一下.其实很简单就是一些简单的命令而已
为您推荐：
其他类似问题
扫描下载二维码用户名：kfcka
文章数：40
访问量：33585
注册日期：
阅读量：1297
阅读量：3317
阅读量：443394
阅读量：1129276
51CTO推荐博文
&配置自反ACL就能够解决这种问题
1.实验目的
通过本实验可以掌握：
（1）自反 ACL 工作原理
（2）配置自反 ACL
（3）自反 ACL 调试
2.拓扑结构
实验拓扑如图 19-2 所示。
图 19-2 自反 ACL 配置
本实验要求内网可以主动访问外网，但是外网不能主动访问内网，从而有效保护内网。
3.实验步骤
（1）步骤 1：分别在路由器 R1 和 R3 配置默认路由确保 IP 连通性
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
（2）步骤 2：在路由器 R2 上配置自反 ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反 ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
【技术要点】
1．自反 ACL 永远是 permit 的；
2．自反 ACL 允许高层 Session 信息的 IP 包过滤；
3. 利用自反 ACL 可以只允许出去的流量，但是阻止从外部网络产生的向内部网络的流
量，从而可以更好地保护内部网络；
4. 自反 ACL 是在有流量产生时（如出方向的流量）临时自动产生的，并且当 Session
结束条目就删除；
5. 自反 ACL 不是直接被应用到某个接口下的，而是嵌套在一个扩展命名访问列表下的。
4.实验调试
（1）同时在路由器 R1 和 R3 都打开 TELNET 服务，在 R1(从内网到外网)TELNET 路由器
R3 成功，同时在路由器 R2 上查看访问控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time
以上输出说明自反列表是在有内部到外部 TELNET 流量经过的时候，临时自动产生一条
（2）在路由器 R1 打开 TELNET 服务，在 R3(从外网到内网)TELNET 路由器 R1 不能成功，
同时在路由器 R2 上查看访问控制列表：
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
以上输出说明自反列表是在有外部到内部 TELNET 流量经过的时候，不会临时自动产生
一条列表，所以不能访问成功。
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：未分类┆阅读(0)┆评论(0)新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
丰衣足食, 积分 792, 距离下一级还需 208 积分
论坛徽章:0
ACL配置好以后，一般都要应用到某个接口上，我想问ACL能直接应用到VLAN上吗？？我的意思是不用应用到VLAN的每个电口，直接对VLAN进行应用
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
论坛徽章:5
H3C的支持基于VLAN的下发。
只要在VLAN接口下下发，基本等同于在端口下下发。
白手起家, 积分 96, 距离下一级还需 104 积分
论坛徽章:9
重要提示：
H3C和锐捷的交换机，有些低端型号的交换机是不支持在vlan接口上下发acl策略的。甚至是在物理接口上下发acl策略也只支持in一个方向上的。
问过厂家，是国内研发的水平差还是什么原因？答曰：我们买的芯片就只在in这个方向上有电路，out方向上是直出的。
晕死的一次案例：华为ne40路由器，在做策略路由的时候，也只支持在物理接口in这个方向上做。
所以买的时候可是要非常非常的注意这一点！！！
论坛徽章:5
因为现在的ACL基本都是靠硬件匹配的，而不是以前传统的CPU来做。因此和芯片有很大的关系。
腰缠万贯, 积分 8001, 距离下一级还需 1999 积分
论坛徽章:0
cisco的可以吗?
富足长乐, 积分 5430, 距离下一级还需 2570 积分
论坛徽章:0
对于CISCO的设备，应该是这样的：IP访问列表只能应用在三层接口上，这三层接口既可以是int vlan也可以是int eth，不能用于二层接口（trunk,access）。
[ 本帖最后由 hjp0021 于
10:35 编辑 ]