Dynamic ACL的应用

冰冻

在CCNA和NP中我们了解到了ACL——思科为网络访问提供的一种安全手段，它是运行在CISCO的IOS上的一种程序。传统的ACL分三大类：标准ACL/扩展ACL/命名ACL.这里对其做简单的回顾：

Cisco routers can identify access-list using two methods：
access-list number——the number of the access list determines what protocol it is filtering：
——（1-99）and（1300-1399）—— standard IP access list
——（100-199）and（2000-2699）—— extended IP access list
access list name （IOS versions gt 11.2）
Names contain alphanumeric characters
Names connot contain spaces or punctuation and must begin with alphabetic character

名称访问列表可以包含数字和字母，但其不可以包含空格及标点符号，而且第一个字符要是字母。
Cisco router support two basic types of IP access lists：
——standard——Filter IP packets based on the source address only.

标准访问列表针对源IP地址进行过滤
——Extended——Fiter IP packets based on several attributes.including：
——Protocol type.
——Source and desination IP address
——Source and destination TCP/UDP ports
——ICMP and IGMP message types.


扩展访问列表针对几种属性对数据包进行过滤：


协议类型，源及目标的IP地址，源及目标的四层端口号，ICMP或者IGMP的报文类型。

一、标准ACL格式：

access-list 列表号 deny或者permit 源IP地址 源IP掩码
Access-list 2 permit 1.1.1.0 0.0.0.255
如果是标准的命名ACL，则写法为：
（config）#ip access-list standard 名称
（config-std-nacl）#deny 1.1.1.0 0.0.0.255


二、扩展ACL格式：

access-list 列表号 deny或permit 协议 {源IP 源反掩码|any|host} 源端口号 {目标IP 目标反掩码|any|host} 目标端口号 [established] [log| log-input]
Access-list 101 permit tcp 1.1.1.0 0.0.0.255 53 2.2.2.0 0.0.0.255 gt 1023
如果是扩展的命名ACL，则写法和标准类似，只是在定义访问策略时稍有不同
为访问列表打上标记，当你看到该ACL时，一目了然。

Remark message
例：Router（config）#access-list 100 remark traffic to http-server
Router（config）#access-list 100 permit ip any 1.1.1.1 0.0.0.255 eq 80

上面所说的仅仅是ACL的写法，都在全局配置模式下进行，但访问列表只是规则，需要有“人”来执行，那么执行者是谁？就是流量要通过的接口，访问列表编辑的再严密，逻辑性再强，安全性再高，如果不将其应用到接口上去，一切都是枉然！

在接口上的应用：

R（config）#int fa0/0
R（config-if）#ip access-group 100 in/out 或者 ip access-group cisco in/out

上面分别是标准和命名访问表在接口上的应用方式。方向是非常重要的，in和out完全是两码事！

1、 标准的访问列表通常放置在离目标最近的地方；
2、扩展的访问列表通常放置在离源最近的地方。

tanxiaoguoguo

ccie张建辉

xiexie