CCNA考点精析——访问控制列表

访问列表的目的是:

1.限制网络流量并提高网络性能。例如，排队技术不仅可以限制网络流量，还可以减少拥塞。

2.为通信流提供控制手段。比如可以通过某个路由器来控制某个网络的流量。

3.它为网络访问提供了基本的安全手段。例如，在一家公司中，允许财务部门的员工访问财务服务器，而拒绝其他部门的员工访问财务服务器。

4.在路由器接口上，决定是允许还是拒绝转发某些流量。例如，您可以允许FTP流量，拒绝TELNET流量。

工作原理:

ACL中指定了两个操作，所有的应用都是围绕这两个操作完成的:allow和deny。

注意:ACL是CISCO IOS中的一个程序，对于管理员输入的指令，它有自己的执行顺序。它从上到下逐行执行指令，寻找匹配，一旦匹配，就停止搜索。如果最后没有找到匹配，它会执行一个隐式的代码丢弃拒绝。所以写ACL一定要注意顺序。

例如，要拒绝来自172.16.1.0/24的流量，请按如下方式编写ACL

172.16.0.0/18允许

172.16.1.0/24被拒绝

192 168 1 1/24允许

172.16.3.0/24被拒绝

那么结果就会与预期背道而驰。切换表1和表2后，我们来看看有没有问题:

172.16.1.0/24被拒绝

172.16.0.0/18允许

192 168 1 1/24允许

172.16.3.0/24被拒绝

找到了172.16.3.0/24。和前面的例子一样，这个条目不起作用，因为在表2中执行时发现它匹配，所以路由器将允许它。与我们的要求相反，需要将条目4的位置移到前面。

结果是这样的:

172.16.1.0/24被拒绝

172.16.3.0/24被拒绝

172.16.0.0/18允许

192 168 1 1/24允许

可以发现ACL的配置有一个规律:比较精确的条目放在最前面，比较一般的条目放在最后
ACL是一组判断语句，主要用来控制下面的数据:

1.入站数据；

2.出站数据；

3.由路由器中继的数据

工作过程

1.无论路由器上是否有ACL，收到的数据包的处理方法都是一样的:当数据进入入站端口时，路由器首先检查它是否可路由，如果不可路由，它将丢弃它。相反，它会通过查找路由表找到路由的详细信息—包括AD、METRIC……和相应的出站端口。

2.此时我们假设数据是可路由的，第一步已经成功完成，要送出站的接口已经找到。此时路由器会检查出端口是否已经被编程为ACL，如果没有ACL，就直接从这个端口发出去。如果把接口编码成ACL，就麻烦了。第一种情况，路由器会按照从上到下的顺序将数据与ACL进行匹配，并从上到下逐一执行。当发现其中一个ACL匹配时，路由器将根据ACL指定的操作处理数据(允许或拒绝)，并停止搜索匹配项。当找到ACL末尾，但没有找到匹配项时，会调用ACL末尾的隐式语句deny any来丢弃数据包。

根据工作原理，ACL可分为两种类型:

1.入站ACL

2.出站ACL

以上对工作过程的解释是针对出站ACL的。是数据包进入路由器后的匹配操作，选择路由找到出接口。入站ACL指的是数据刚进入路由器接口时的匹配操作，减少了查表过程。

不能说入站表省略了路由过程，所以比出站表好。这要看实际情况:

如图所示，采用了源的基本ACL访问控制。

要求如下:

1.1.1.1.2被拒绝访问3.1.1.2，但被允许访问5.1.1.2。

2.3.1.1.2被拒绝访问1.1.1.2，但被允许访问5.1.1.2。

使用基本ACL来控制它。

1.1.1.2 0 . 0 . 0 . 255
R1(配置)#access-list 1 permit any
R1(配置)#int e0
R1(配置-if)# access-group 1 in
R2(配置)# access-list 1 deny 3.1.1.2 0 . 0 . 0 . 255
R2(配置)#access-list 1 permit any
R2(配置)#int e0
R2

从命令的角度来看，配置似乎满足条件。
假设有一个从1.1.1.2到3.1.1.2的数据包，进入路由器接口E0后，这里用的是入站表，不用查路由表，直接匹配ACL。如果发现声明访问列表1拒绝1.1.1.2 0 . 0 . 255，则数据包被拒绝并丢弃；假设有一个从3.1.1.2到1.1.1.2的包，如上。

当1.1.1.2想要与5.1.1.2通信时，数据包也会被拒绝。

当3.1.1.2想要与5.1.1.2通信时，数据包也会被拒绝。

这个ACL只能对源进行控制，所以不管目的是什么，只要满足源的匹配，就会进行操作。

如何解决这个问题？

1.把源放在离目标最近的地方，使用出站控制；

2.可以根据目的地址来控制ACL。

第一项很好理解，因为标准ACL只能对源进行控制。如果放在离源最近的地方，会造成不必要的丢包。一般来说，标准ACL放在离目标最近的地方！

第二种方法是控制目标地址。因为标准ACL只针对源，所以这里不能用标准ACL，应该用扩展ACL。然而，它也有它的缺点。搜索数据的项目很多，虽然控制的很准，但是速度比较慢。

简单比较以下标准ACL和扩展ACL。

标准ACL只控制源。

可以针对某个协议、源、目的地和端口号来控制扩展ACL。

从命令行可以看出

标准:

路由器(配置)#访问列表列表编号

扩展:

路由器(配置)#访问列表列表号协议源{源-掩码目的地目的地-掩码}[运算符操作数][已建立][日志]

协议—用于指定协议类型，如IP、TCP、UDP、ICMP、IGRP等。

源和目标—源和目标，分别用于标记源地址和目标地址。

源掩码和目标掩码—源和目标的通配符掩码。

运算符操作—it、gt、eq、neq(分别为小于、大于、等于、不等于)和端口号。

Established—如果数据包使用已建立的连接(例如，带有ack位组)，则允许TCP信息通过。

为了避免过多地查找表，扩展ACL通常放在离源最近的地方
。看完以上内容，可以看看以下关于思科访问控制列表的例子:

1、网络管理员使用访问列表的两个原因是什么？(选两个。)

答:要控制vty对路由器的访问

b:通过路由器控制广播流量

c:过滤通过路由器的流量

d:过滤来自路由器的流量

e:取代密码作为抵御安全入侵的一道防线

答案:A，C

注意:此问题主要考察思科考生对ACL作用的理解:网络管理员在网络中使用ACL的两个原因是什么？

选项a指出了CISCO访问列表的一种用法:通过VTY线访问控制路由器；

ACL不能有效地控制路由器上的广播流量。

选项c还表示ACL的另一个功能，即过滤通过路由器的流量。这里需要注意的是，ACL可以作用于“穿越”路由器的流量，但是路由器本身产生的流量，比如路由更新报文，ACL是不会作用的:因为ACL不能过滤路由器本身产生的流量，那么D也是错误的；

2、出于安全原因，网络管理员需要防止网际网络之外的主机pings公司网络。应该使用访问控制列表阻止哪个协议？

答:知识产权

B: ICMP

C: TCP

民主党

答案:B

出于安全原因，网络管理员希望阻止来自Internet的外部主机pinging企业的内部网络。访问列表中必须阻止哪个协议？PING使用ICMP协议。在ACL中，我们可以定义某些协议需要允许或拒绝的流量。这个题目是b。

3、参考展品。路由器RTB的S0/0接口出站方向配置了访问控制列表。如果路由到接口，哪两个数据包会被拒绝？(选两个。)

访问列表101拒绝TCP 192 . 168 . 15 . 32 0 . 0 . 0 . 15 any eq telnet

访问列表101允许ip any any

访问控制表

a:源ip地址:192 . 168 . 15 . 5；目的港:21

b:源ip地址:，192.168.15.37目的端口:21

c:源ip地址:，192.168.15.41目的端口:21

d:源ip地址:，192.168.15.36目的端口:23

e:源ip地址:192 . 168 . 15 . 46；目的港:23

正确答案:B，E

如图所示，RTB上配置了访问控制列表，以控制由192.168.15.32/29网段发起的从S0/0到外部的telnet流量，并允许其它流量通过。使用Telnet端口23，这可以消除三个ABC选项。这个问题选d，e。