11、ACL

IP访问控制列表
标准ACL 1)检查源地址 2）不能对协议簇作限定
扩展ACL 1)检查源和目标地址 2）能容许或拒绝特定的协议和应用（端口号）
区别列表类型: 1）ACL号 : 1-99,1300-1999标准ACL ;100-199,2000-2699扩展ACL
2) 命名ACL用描述性的名字或号码标识
 
 
1.访问列表的编号指明了使用何种协议的访问列表
2.每个端口，每个方向，每个协议只能对应于一条访问列表
3.访问列表内容决定了数据控制顺序，具有严格限制条件的语句放在所有语句最上面
4.访问列表最后一条是隐含拒绝，所有每个访问控制列表至少有一条permit语句（否则所有流量不通过）
5.访问控制列表需要应用在进出接口上，如何过滤流量，取决于怎么应用
6.放置访问控制列表
1）扩展访问列表应用在靠近源
2）标准访问列表应用靠近目标

acl作用：
A：作为一种流量过滤工具，过滤进入或者离开路由器的流量
   1、对进入接口的流量进行过滤
   2、对离开接口的流量进行过滤
   3、控制对路由器的访问 telnet （vty）
   4、控制路由协议的发布和更新

B、acl在QOS中的应用
  1、区分流量
  2、实施QOS策略
  3、绑定接口

C、定义感兴趣流量
  1、DDR，也就是ISDN定义感兴趣的拨号流量
  2、VPN中的应用：IPSEC VPN、GRE、L2TP

ACL分类：
A: 标准ACL：是根据源IP地址匹配，用于限制到路由器的访问 1-99

B：扩展ACL：可以根据源IP、目的IP、源端口、目的端口、协议号进行匹配，
   来过滤特定的流量。100-199

C：基于时间的ACL：是一种扩展ACL，可以于在特定的时间范围内起作用来对
    数据流量进行控制

D：命名ACL:包括命名标准ACL和命名扩展ACL，用来解决号码不足的问题
    优点：可以自由添加和删除ACL，同时
可以对ACL定义一个有意义的名字，方便记忆和使用

应用位置：
1、入口ACL

2、出口ACL

路由器操作过程：
1、数据进入路由器

2、在接口对数据进行拆除二层帧，如果目标MAC地址是自身接口地址或者
是一个广播地址就接收，并进入第三步，否则丢弃。如果在入接口使用了ACL，则在此步骤进行ACL处理
 
3、查看目标ip，看是否为本路由器上的接口IP地址，如果是则立即交给CPU进
程的上层应用协议进行处理，如果不是，则查询路由表

4、若路由表中存在相应条目，则在相应的出口进行二层再次封装，如果没有相
应路由条目，则丢弃数据，并报ICMP回应数据,如果在出接口使用了ACL，则在此步骤进行ACL处理

5、从出接口发出数据

实验演示：

1、标准访问列表：在R2的S1/0的出方向应用ACL，使192.168.2.0网段不能上互联网
（注意ACL只能过滤穿越路由器的流量，对于路由器本身接口产生的流量不能过滤，
   例如R2的F0/1接口发往互联网的流量就不能被过滤）
access-list 1 deny   192.168.2.0 0.0.0.255
access-list 1 permit any

2、扩展访问列表：在R2的S1/0的出方向使用ACL，使PC2的ICMP流量可以出去，但是telnet流量不能出去。
access-list 100 deny   tcp host 192.168.2.2 any eq telnet
access-list 100 permit icmp host 192.168.2.2 any

3、单向访问：使用ACL实现PC1 ping PC2没问题 ，PC2 ping PC1不行
access-list 100 permit icmp host 192.168.2.2 host 192.168.1.2 echo-reply
access-list 100 deny   icmp host 192.168.2.2 host 192.168.1.2
access-list 100 permit ip any any

4、基于TCP established单向访问：使用ACL实现 PC1 telnet PC2没问题，PC2 telnet PC1不成功
access-list 100 permit tcp host 192.168.2.2 host 192.168.1.2 eq telnet established
access-list 100 deny   tcp host 192.168.2.2 host 192.168.1.2 eq telnet
access-list 100 permit ip any any

5、基于时间的ACL：实现192.168.1.0 和2.0网段每天上班时间的8:00 - 17:30不能上网
    一、定义时间范围

　　定义时间范围又分为两个步骤。

　　1.使用Time-range命令来正确地指定时间范围。

　　格式：time-range time-range-name

　　Time-range-name 用来标志时间范围的，以便在访问表中进行引用。

　　2.使用Absolute或者一个或多个Periodic语句来定义时间范围，每个时间范
     围只能有一个Absolute语句，但它可以有多个Periodic语句。

　　（1）格式：absolute [start time date] [end time date]

　　Time以小时和分钟方式（hh:mm）输入时间。

　　Date以日、月、年方式输入日期。

　　如：absolute start 8:00 end 18:00

　　（2）格式：periodic days-of-the-

　　week hh:mm to [days-of-the-week] hh:mm

　　Days-of-the-week产生作用的某天或某几天；参数可以是单一的一天
（如 Monday）某几天（Monday到Friday）或Daily、Weekday或Weekend。

　　Daily从星期一到星期天。

　　Weekday从星期一到星期五。

　　Weekend星期六和星期日。

　　如：从星期六早上8∶00到星期天晚上18∶00

　　periodic weekend 8:00 to 18:00

　　一周中的每天8∶00到18∶00

　　periodic daily 8:00 to 18:00

　　从星期三的15∶00到星期六的8∶00

　　periodic wednesday 15:00 to saturday 8:00

　　二、在访问表中用Time－range引用刚刚定义的时间范围

　　如：ip access-list 101 permit any any eq 80 time-range time-range-name

　　Time-range-name是用Time-range定义的名称。

time-range internet
 periodic weekdays 8:00 to 18:00

access-list 100 deny ip 192.168.0.0 0.0.255.255 any time-range internet
access-list 100 permit ip any any

注意的地方：
1、每一条ACL语句只有一个条件和操作
2、所有ACL后有一条deny all的隐性操作，在一个ACL里面必须得有一个permit语句
3、ACL的顺序一定要合理，最细化的具体的条目要放在最前面，粗略的条目放在后面   
    (1、顺序得当可以降低CPU负担  
    (2、如果粗略条目在细化的条目前面，就有可能导致细化条目无效)
  access-lis 1 permit 192.168.1.0 0.0.0.255
  access-lis 1 deny host 192.168.1.100
4、每个方向、每个接口、每种协议只允许一个ACL`
5、ACL可以控制穿过路由器的流量，但是不能控制自身产生的流量

应用时应注意：
1、标准ACL离目标更近，优点是配置简单，缺点效率低
2、扩展ACL离源更近，效率高，控制数据更加的细化

可控VTY访问
access-list 1 permit 192.168.1.2
!         
line vty 0 4
 access-class 1 in  //应用标准访问列表1
 password 123

命名访问列表
ip access-list standard vty-access   //命名访问列表的配置
 permit 192.168.1.2
!
line vty 0 4
 access-class vty-access in   //应用命名访问列表
 password 123

单向访问应用：
1、A主机可以ping通B主机，但是B主机不能ping通A主机
access-list 100 permit icmp host 192.168.2.2 host 192.168.1.2 echo-reply
access-list 100 deny   icmp host 192.168.2.2 host 192.168.1.2
access-list 100 permit ip any any

2、带有established选项的扩展访问列表
access-list 100 permit tcp host 192.168.2.2 host 192.168.1.2 eq telnet established
access-list 100 deny   tcp host 192.168.2.2 host 192.168.1.2 eq telnet
access-list 100 permit ip any any