ACL访问控制列表格模板

精心整理精心整理精心整理轻松学习理解ACL访问控制列表【51CTO.com独家特稿】任何企业网络系统在为创造价值的同时，对安全性也有很高的。ACL（网络层访问控制列表）其实可以帮助企业实现网络安全策略，可以说ACL是一个很不错的解决工具或。那什么是ACL呢？为了帮助企业网络运维人员深入理解ACL，可以根据以下几点看透ACL本质。一、从名称解析ACLACL：AcessControlList，即访问控制列表。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。二、看透ACL的本质通常，很多企业都在使用NAT技术进行地址转换，而NAT技术中就包含了ACL的应用。通过ACL，我们可以控制哪些私有地址能上外网（公网），哪些不能。然后把这些过滤好的数据，进行NAT转换。另外，企业也需要对服务器的资源访问进行控制，通过ACL过滤出哪些用户不能访问，哪些用户能访问。从实际应用中，我们看到ACL能够区分不同的数据流。这也意味着ACL的本质其实是一种流量分类技术，它是人为定义的一组或几组规则，目的是通过网络设备对数据流分类，以便执行用户规定的动作。换句话说，ACL本身不能直接达到访问控制的目的，它间接辅助特定的用户策略，达到人们所需效果的一种技术手段。在笔者看来，ACL是一种辅助型的技术或者说是工具。三、玩转基本的ACL拓扑描述：某企业有100个信息点，分属五个部门。用一台二层交换机和一台路由器作为网络层设备；局域网内部有一台OA服务器。组网需求：五个部门分属5个VLAN，VLAN间不能互通。要求所有终端都可以上公网，并访问OA服务器。也就是说，有两个需求：1、5个部门的终端不能互相通讯2、5个部门都要求能够访问OASERVER和公网。根据这两种实际需求，怎么用ACL实现呢？以Cisco路由器为例，在全局模式下进行如下配置：access-list100permitipanyhostOA的ipaccess-list100deny?ipanyip网络号通配符access-list100permitipanyany然后在相应的子接口下绑定:ipaccess-group100in命令解释：第一条就是允许OA服务器上的数据进入，第二条就是拒绝其它四个部门的数据流进入，第三条是允许所有流量进入，然后最后在相应接口绑定并启用放通或丢弃的操作。我们配置ACL都有几个配置原则，细化优先原则和最长匹配原则，不同的配置顺序影响不同的执行效果。通常都是按一个汇总的原则进行规划IP地址，所以第二条后面的IP网络号代表的是其它VLAN的子网汇总网络号。一般来说，思科的ACL最后都默认隐藏了一条deny所有的语句，所以必须人为添加一条permit语句。在边界路由器上配置上述的命令，就能满足需求了，当然还需要和其他配置命令相结合使用，比如划分VLAN，配置路由等。但无论是怎样的需求，只要记住ACL的核心，它是一种流量分类技术，可以用特定的方式标记和分类网络中的流量，配合其它操作策略一起完成某项任务。只要明白这点，我们就能够玩好基本的ACL了。访问控制列表（AccessControlList，ACL)是路由器接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。ACL的作用ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。ACL的分类目前有两种主要的ACL:ACL和扩展ACL。这两种ACL的区别是，标准ACL只检查数据包的源地址;扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。　在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。正确放置ACLACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。假设在图3所示的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论:标准ACL要尽量靠近目的端。网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。ACL的配置ACL的配置分为两个步骤：第一步:在全局配置模式下，使用下列命令创建ACL：Router(config)#access-listaccess-list-number{permit|deny}{test-conditions}其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IPACL（1—99）和扩展的IPACL（100－199）。在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。一个比较有效的解决办法是：在远程主机上启用一个TFTP服务器，先把路由器配置文件下载到本地，利用文本编辑器修改ACL表，然后将修改好的配置文件通过TFTP传回路由器。这里需要特别注意的是，在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。在CiscoIOS11.2以后的版本中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。所以，笔者仍然建议使用TFTP服务器进行配置修改。第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：Router(config-if)#{protocol}access-groupaccess-list-number{in|out}其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。路由器是工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。虽然路由器可以支持多种协议（如TCP/IP、IPX/SPX、AppleTalk等协议），但是在我国绝大多数路由器运行TCP/IP协议。路由器通常连接两个或多个由IP子网或点到点协议标识的逻辑端口，至少拥有1个物理端口。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过与网络上其他路由器交换路由和链路信息来维护路由表。路由器设备厂商最有名的是Cisco公司，以下是Cisco路由器配置的常用命令汇总，希望对正在学习和应用思科路由器的你有帮助。启动接口，分配IP地址：router>router>enablerouter#router#configureterminalrouter(config)#router(config)#interfaceTypePortrouter(config-if)#noshutdownrouter(config-if)#ipaddressIP-AddressSubnet-Maskrouter(config-if)#＾z配置RIP路由协议：30秒更新一次router(config)#routerriprouter(config-if)#networkNetwork-Number<--通告标准A,B,C类网-->router(config-if)#＾z配置IGRP路由协议：90秒更新一次router(config)#routerigrpAS-Number<--AS-Number范围1～65535-->router(config-if)#networkNetwork-Number<--通告标准A,B,C类网-->router(config-if)#＾z配置NovellIPX路由协议：NovellRIP60秒更新一次router(config)#ipxrouting[nodeaddress]router(config)#ipxmaximum-pathsPaths<--设置负载平衡，范围1～512-->router(config)#interfaceTypePortrouter(config-if)#ipxnetworkNetwork-Number[encapsulationencapsulation-type][secondary]<--通告标准A,B,C类网-->router(config-if)#＾z配置DDR：router(config)#dialer-listGroup-NumberprotocolProtocol-Typepermit[listACL-Number]router(config)#interfacebri0router(config-if)#dialer-groupGroup-Numberrouter(config-if)#dialermapProtocol-TypeNext-Hop-AddressnameHostnameTelphone-Numberrouter(config-if)#＾z配置ISDN：router(config)#isdnswith-typeSwith-Type<--配置ISDN交换机类型，中国使用basic-net3-->router(config-if)#＾z配置FrameRelay：router(config-if)#encapsulationframe-relay[cisco　IEtf]router(config-if)#frame-relaylmi-type[ansi　cisco　q933a]router(config-if)#bandwidthkilobitsrouter(config-if)#frame-relayinvers-arp[Protocol][dlci]<--配置静态InversARP表：router(config)#frame-relayProtocolProtocol-AddressDLCI[Broadcast][ietf　cisco][payload-compress　packet-by-packet]--><--设置Keepalive间隔：router(config-if)#keepaliveNumber--><--为本地接口指定DLCI：router(config-if)#frame-lelaylocal-dlciNumber--><--子接口配置：router(config-if)#interfaceTypePort.Subininterface-Number[multipoint　point-to-point]router(config-subif)#ipunnumberedInterfacerouter(config-subif)#frame-lelaylocal-dlciNumber-->router(config-if)#＾z配置标准ACL：router(config)#access-listAccess-List-Number[permit　deny]source[source-mask]<--Access-List-Number范围：1～99标准ACL；100～199扩展ACL；800～899标准IPXACL；900～999扩展IPXACL；1000~1099IPXSAPACL；600～699AppleTalkACL-->router(config)#interfaceTypePortrouter(config-if)#ipaccess-groupAccess-List-Number[in　out]router(config-if)#＾z配置扩展ACL：router(config)#access-listAccess-List-Number[permit　deny][Protocol　Protocol-Number]sourcesource-wildcard[Source-Port]destinationdestination-wildcard[Destination-Port][established]router(config)#interfaceTypePortrouter(config-if)#ipaccess-groupAccess-List-Number[in　out]router(config-if)#＾z配置命名ACL：router(config)#ipaccess-list[standard　extended]ACL-Namerouter(config[std-　ext-]nacl)#[permit　deny][IP-Access-List-Test-Conditions]router(config[std-　ext-]nacl)#no[permit　deny][IP-Access-List-Test-Conditions]router(config[std-　ext-]nacl)#＾zrouter(config)#interfaceTypePortrouter(config-if)#ipaccess-group[ACL-Name　1~199][in　out]router(config-if)#＾z配置DCE时钟：router#showcontrollersTypePort<--确定DCE接口-->router(confin-if)#clockrate64000<--进入DCE接口设置时钟速率-->router(config-if)#＾z配置PPP协议：router(config)#usernameNamepassWordSet-Password-Here<--验证方建立数据库-->router(config)#interfaceTypePortrouter(config-if)#encapsulationppp<--启动PPP协议-->router(config-if)#pppouthentication[chap　chappap　papchap　pap]<--选择PPP认证-->router(config-if)#ppppapsent-usernameNamepasswordPassword<--发送验证信息-->router(config-if)#＾zPAP单向认证配置实例：验证方：router-server(config)#usernameClIEntpassWord12345<--验证方建立数据库-->router-server(config)#interfaceserial0router-server(config-if)#encapsulationppprouter-server(config-if)#pppauthenticationpap<--选择使用PAP实现PPP认证-->router-server(config-if)#＾z被验证方：router-client(config-if)#encapsulationppprouter-client(config-if)#ppppapsent-usernameClientpassword12345<--发送验证信息-->router-client(config-if)#＾zPAP双向认证配置实例：路由器A：routerA(config)#usernameBpassword12345routerA(config)#interfaceserial0routerA(config-if)#encapsulationppprouterA(config-if)#pppauthenticationpaprouterA(config-if)#ppppapsent-usernameApassword54321routerA(config-if)#＾z路由器B：routerB(config)#usernameApassword54321routerB(config)#interfaceserial1routerB(config-if)#encapsulationppprouterB(config-if)#pppauthenticationpaprouterB(config-if)#ppppapsent-usernameBpassword12345routerB(config-if)#＾zCHAP单向认证配置实例：验证方：router-server(config)#usernamerouter-clientpassword12345router-server(config)#interfaceserial0router-server(config-if)#encapsulationppprouter-server(config-if)#pppauthenticationchaprouter-server(config-if)#＾z被验证方：router-client(config-if)#encapsulationppprouter-client(config-if)#pppauthenticationchaprouter-client(config-if)#pppchaphostnamerouter-clientrouter-client(config-if)#pppchappassword12345router-client(config-if)#＾z　CHAP双向认证配置实例：路由器A：routerA(config)#usernamerouterBpassWord12345routerA(config)#interfaceserial0routerA(config-if)#encapsulationppprouterA(config-if)#pppauthenticationchaprouterA(config-if)#pppchaphostnamerouterArouterA(config-if)#pppchappassword54321routerA(config-if)#＾z路由器B：routerB(config)#usernamerouterApassword54321routerB(config)#interfaceserial1routerB(config-if)#encapsulationppprouterB(config-if)#pppauthenticationchaprouterB(config-if)#pppchaphostnamerouterBrouterB(config-if)#pppchappassword12345routerB(config-if)#＾zTelnet使用：routerA#terminalmonitor<--可以传回在远端主机执行Debug命令的结果-->routerA#telnetIP-Address[Router-Name]<--Telnet到指定的地址或名字的主机-->routerB#[exit　logout]<--退出Telnet-->routerB#<6>再按<--挂起Telnet-->routerA#showsessions<--显示当前所有Telnet的信息，包括Connect-Number-->routerA#Connect-Number<--返回指定的Telnet连接-->routerA#disconnectIP-Address[Router-Name]<--断开指定地址或名字的主机的连接-->routerA#showuser<--显示Telnet到本机的连接信息-->routerA#clearline[0　1　2　3　4]<--断开指定Telnet到本机的连接-->禁止任何Telnet到本机：router(config)#linevty04router(config-line)#access-classACL-Numberrouter(config)#＾z设置主机名：router(config)#hostnameSet-Hostnamerouter(config)#＾zrouter(config)#＾z设置用户模式密码：router(config)#lineconsole0router(config-line)#loginrouter(config-line)#passwordSet-Passwordrouter(config-line)#＾z设置Telnet密码：router(config)#linevty04router(config-line)#loginrouter(config-line)#passWordSet-Passwordrouter(config-line)#＾z设置特权模式密码：router(config)#enablepasswordSet-Password<--不加密的密码，明码-->router(config)#enablesecretSet-Password<--经过加密的密码-->router(config)#＾z给所有密码加密：router(config)#servicepassword-ancryptionSet-Password-Hererouter(config)#noservicepassword-ancryption<--取消加密-->router(config)#＾z设置登录Banner：router(config)#bannermotd分隔符Set-Banner-InFORMation-Here分隔符<--前后分隔符一定要一致-->设置接口的描述信息：router(config-if)#descriptionSet-Port-InFORMation-Hererouter(config)#＾zCDP的控制：router(config-if)#cdpenable<--在指定端口启用CDP，缺省-->router(config-if)#nocdpenable<--在指定端口关闭CDP-->router(config)#cdprun<--使所有端口启用CDP-->router(config)#nocdprun<--使所有端口关闭CDP-->Ping的使用：router#pingIP-Addressrouter#ping<--扩展Ping命令-->Protocol[ip]：[Protocol-Type]<--选择协议类型-->TargetIPaddress：IP-Address<--输入测试地址-->Repeatcount[5]：<--选择发送的ICMP包数量-->Datagramsize[100]：<--选择每个包的大小-->Timeoutinseconds[2]：<--设置每个包的超时时间-->Extendedcommands[n]：y<--使用扩展Ping命令-->Sweeprangeofsizes[n]：Tracke的使用：router#traceIP-Address[Host-Name]为Cisco4000路由器指定媒体类型：router(config-if)#media-type10baset<--使AUI（默认）失效，改为使用RJ-45-->router(config-if)#＾z　更改路由器启动顺序：router(config)#bootsystemFlashIOS-FileNamerouter(config)#bootsystemtftpIOS-FileNameTFTP-IP-Addressrouter(config)#bootsystemromrouter(config)#＾z修改寄存器数值：router(config)#config-registervalue<--Cisco出厂默认value＝0x2102，value范围：0x2100（进入ROM监视器），0x2101（使系统从ROM启动），0x2102～0x210F（使系统从NVRAM启动）。0x1＝0x2101，从最小位开始改变-->在ROM监视器中更改寄存器数值：>o/rvalue路由器密码的恢复：>o/r0x2142<--25xx型路由器-->或>confreg0x2142<--16xx型路由器-->router>Irouter>nrouter>enablerouter#copystartup-configrunning-configrouter#configureterminalrouter(config)#enablesecretNew-PassWordrouter(config)#config-register0x2102router(config)#＾zrouter#copyrunning-configstartup-configrouter#reload冷关机，然后再开机并在60秒内按进入ROM监视器模式配置名称－主机入口：router(config)#iphostSet-Name[TCP-Port-Number]IP-Address[IP-Address2]．．．router(config)#＾z定义DNS主机：router(config)#ipname-serverServer-Address[Server-Address2]．．．router(config)#＾z禁用DNS：router(config)#noipdomain-lookuprouter(config)#＾z配置水平分割：router(config-if)#ipsplit-horizonrouter(config-if)#noipsplit-horizonrouter(config-if)#＾z　配置静态路由：router(config)#iprouteIP-AddressSubnet-Mask[Next-Hop-Address　Local-Out-Port][Distace]<--Distance范围：1～255，相当于优先权，越小越好。RIP=120；DSPF=110；IGRP=100；EIGRP=90-->router(config)#＾z配置缺省路由：router(config)#ipdefoult-networkIP-Address<--动态缺省路由-->router(config)#＾z其它命令：router#showversionrouter#showrunning-configrouter#showstartup-configrouter#showFlashrouter#showinterface[TypePort]router#showbuffersrouter#showprotocolrouter#showmemrouter#showstacksrouter#showprocessesrouter#showcdpentry[Device-Name]<--显示指定邻居三层信息-->router#showcdpneighborsrouter#showcdpneighborsdetail<---显示所有邻居三层信息->router#showiprouterrouter#showipxrouterrouter#showhostrouter#showipprotocolrouter#showipinterfaceTypePortrouter#showipxinterfaceTypePortrouter#showipxserversrouter#showipxtrafficrouter#showaccess-lists[ACL-Number]router#showisdnstatusrouter#showdialer<--查看ISDN拨号信息-->router#showisdnactiverouter#showframe-relaypvcrouter#showframe-relaymaprouter#showframe-relaylmirouter#erasestartup-configrouter#reloadrouter#setuprouter#copyrunning-configstartup-configrouter#copystartup-configrunning-configrouter#copytftprunning-configrouter#copyrunning-configtftprouter#debugipxroutingactivityrouter#debugipxsaprouter#debugisdnq921router#debugisdnq931router#debugdialerrouter#debugipriprouter#clearinterfacebri[0　1　2]配置实例：要想使基于时间的ACL生效需要我们配置两方面的命令：1、定义时间段及时间范围。2、ACL自身的配置，即将详细的规则添加到ACL中。3、宣告ACL，将设置好的ACL添加到相应的端口中。网络环境介绍：路由器配置命令：time-rangesofter定义时间段名称为softerperiodicweekend00:00to23:59定义具体时间范围，为每周周末（6，日）的0点到23点59分。当然可以使用periodicweekdays定义工作日或跟星期几定义具体的周几。access-list101permitipanyany设置ACL，容许其他时间段和其他条件下的正常访问。inte1进入E1端口。ipaccess-group101out宣告ACL101。由于芯片结构的原因，中端产品的QACL配置较复杂，给用户使用带来了一定的难度，用服人员维护起来有时也会较为棘手，经常会有用户和用服人员打电话过来咨询这方面的配置的使用，下面的配置案例全部取材于6500系列产品在使用中的实际配置，大多是客户的咨询，其中一些还曾发生过网上问题。将这些东西进行总结，有利于我们更好的使用6506。【案例1】我想实现办公网只有个别的机器（10.1.0aclnumber100rule0permitipsoudesrule1denyipinte2/0/1paipin100【问题分析】这是个比较典型的错误，错误原因就是没有搞清6506的acl的其作用的顺序。在6500系列产品上，是根据规则的下发时间顺序来决定起作用的顺序的，最近下发的规则我们认为是用户最新的需求，它会最新起作用。对于上面的配置，rule0先下发，rule1后下发，那么首先其作用的是rule1。这样会将所有的报文都过滤掉。【解决办法】将两条规则的配置顺序对调。【案例2】我想禁止210.31.12.00.0.1.255访问任何网段的ICMP报文，但却无法实现，请帮忙检查一下。aclnumber100match-orderautorule1denytcpsource-porteq135destination-porteq135rule2denytcpsource-porteq135destination-porteq139rule3denytcpsource-porteq135destination-porteq4444rule4denytcpsource-porteq135destination-porteq445rule5denyudpsource-porteqtFTPdestination-porteqtftprule6denytcpsource-porteq1025rule8permitip【问题分析】又是一个比较典型的错误，用户认为要想让交换机转发，必须配置类似rule8的规则，其实这是不必要的，6506缺省有一条matchall表项，将交换机配置成转发模式，再配置一条，则覆盖了前面的所有规则。【解决办法】将最后一条规则去掉。【案例3】10.1.1.0，但配置后其他网段也可以访问了，请问是为什么？aclnumber101match-orderautorule0denyipaclnumber102match-orderauto。。。。。。。。。interfaceEthernet2/0/3descriptionconnectedto5louportlink-typehybridporthybridvlan1taggedporthybridvlan20untaggedporthybridpvidvlan20qospacket-filterinboundip-group101rule0packet-filterinboundip-group102rule0packet-filterinboundip-group103rule0packet-filterinboundip-group105rule2packet-filterinboundip-group105rule3packet-filterinboundip-group105rule5packet-filterinboundip-group105rule6packet-filterinboundip-group105rule4#【问题分析】【解决办法】【案例4】某银行当每天造成重起6506后，发现有部分网段的用户无法访问病毒服务器（aclnumber122descriptionguokuaclnumber186interfaceEthernet1/0/48descriptionconnect_to_vlan1000-routertraffic-priorityoutboundip-group181dscp46traffic-priorityoutboundip-group182dscp34traffic-priorityoutboundip-group183dscp26traffic-priorityoutboundip-group184dscp18traffic-priorityoutboundip-group185dscp10traffic-priorityoutboundip-group186dscp0packet-filterinboundip-group120not-care-for-interfacepacket-filterinboundip-group121not-care-for-interfacepacket-filterinboundip-group122not-care-for-interfacepacket-filterinboundip-group123not-care-for-interfacepacket-filterinboundip-group124not-care-for-interfacepacket-filterinboundip-group125not-care-for-interface【问题分析】当我们做完配置时，软件对配置进行了相应的记录，我们使用save命令就可以将这些记录保存在配置文件中，每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关，所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。本问题出在软件在buildrun时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。将acl删除后再下发，再次改变了匹配顺序，acl规则生效。由于软件设计时将acl和qos设计成了两个模块，而buildrun的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。【解决办法】可以将qos的操作移动到前面的端口来做，由于buildrun的顺序是按照端口顺序来做的，这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，aclnumber186【案例5】我这里用户有这样的一个需求，请帮我确定一下应如何配置：核心使用6506，边缘节点使用五台3526E（使用二层），3526E和6506之间使用trunk模式，用户分为了7个网段。考虑了网络安全，用户需要如下要求：21.0：能够访问internet网，但不能访问其他网段；22.0：能够访问其他网段，但不能访问internet网；。。。。。。。。21.0和22.0分别属于vlan2和3，这两个网段内的用户都通过一个3526E接到6506上，请协助确定如何在6506上使用访问控制策略。多谢。【解决方案】1．根据需求的字面意思来配置，思路清晰，但比较浪费表项。21－－22deny21－－23deny21－－24deny21－－25deny21－－26deny21－－27deny22－－anydeny22－－21peimit22－－23peimit22－－24peimit22－－25peimit22－－26peimit22－－27permit2．对需求进行分析，将网段加以合并，可以节省表项。则需求可以简化成禁止2访问A和B,只允许A和B可以互访，禁止A和B访问其他网段。deny2toAdeny2toBdenyAtoanydenyBtoanypermitAtoApermitBtoBpermitAtoB配置一个acl即可：【案例6】我配置了如下acl，但下发时提示我配置无法下发，请问是为什么？aclnumber10000.0.0.255【问题分析】规则11和28是同一条规则，虽然动作不同，软件禁止同一条规则重复下发。【解决办法】如果想下发后一条规则，应首先删除头一条。【案例7】用户配置访问列表禁止某一网段在周一至周五禁止上互联网，在这一网段中的两个ip不受限，在运行半天后，不受限的两个ip无法访问internet。即acl中的permit失效，deny还起作用。不做ACL的网段转发没有问题，0030（包括此版本）版本以下都有此问题。访问列表需求如下：我在6506上做了2种配置均可实现以上功能（运行1/2天以后必须重起6506）第一种是在3050上连到6506的光纤口上做访问列表第二种是在6506连接路由器的电口上做访问列表（在这个口上是为了考虑2个网段访问内网方便----即访问列表简单）aclnumber10100.0.0.255time-rangestunetaclnumber102time-rangestunet08:00to22:00working-day#【问题分析】防火墙可以配置时间段，这样规则就可以在一段规定的时间内发生作用。这是对防火墙功能的进一步提升。交换机的时间段功能是通过软件中的定时器在规定的时间段范围内下发到硬件中来完成的，在其他时间硬件中没有配置带有时间段的acl。当在规定的时间段之外，软件会将规则从硬件中删除，到达时间后再次下发。但这里会存在一个问题，就是我们已经默认后下发的规则优先，这就人为的提供了带有时间段的规则的优先级。以至使得其它不带有时间段的规则失效。上面的问题就是一例。【解决办法】将同一条acl的所有规则都配上相同的时间段。【案例8】用户反映，配置了访问控制列表后不知道如何查看是否有匹配上该规则的机器。应该如何查看呢？【解答】可以配置流统计来实现这个功能。命令为接口模式下配置traffic-statics。然后使用disqos-interface命令来显示统计结果。但可是如果我配置的规则是DENY则不能下发。【案例9】可以通过下面的命令来选择使用L2或L3模式的流分类规则。请在全局配置模式下进行下列配置。表1-7选择ACL模式操作命令选择ACL模式aclmode{l2l3}那么是说缺省情况下，选择使用L3流分类规则。那么是说5516不能同时使用2层和3层的acl吗？换句话说是不是不能同时起用二层和三层的规则，如果已经配置了三层规则，又想再配置二层规则，唯一的方法就是把三层规则取消掉？【解答】5516和6506不能同时使用2层和3层的acl。不需要把三层规则取消掉，只需选择生效模式，硬件会自动选择二层或三层规则进行匹配。【案例10】路由器下面接6506，6506下面挂两个vlan，一边是学生，一边是老师，老师和学生的带宽无论什么时候都各是2M。也就是基于vlan的限速。如果参看配置手册中下面的配置，实现起来应该没有什么问题吧。(1)定义工资服务器向外发送的流量[Quidway]aclnametraffic-of-payserveradvancedip#定义traffic-of-payserver这条高级访问控制列表的规则。20.0.0.0destinationany(2)对访问工资服务器的流量进行流量限制#限制工资服务器向外发送报文的平均速率为20M。[Quidway-Ethernet1/0/1]traffic-limitinboundip-grouptraffic-of-payserver20【错误分析】6506实现的是出端口限速，请勿配置入端口限速。【相关文章】ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全性。ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。一方面，采用ACL技术，网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划，它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安全之间的一个权衡。访问控制列表从概念上来讲并不复杂，复杂的是对它的配置和使用，许多初学者往往在使用访问控制列表时出现错误。下面是对几种访问控制列表的简要总结。◆标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。◆扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。◆命名的IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。◆标准IPX访问控制列表标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。◆扩展IPX访问控制列表扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个宇段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。◆命名的IPX访问控制列表与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。由于构成Internet的TCP/IP协议缺乏安全性，网络安全成为用户在提供开放式环境时必须认真考虑的问题。ACL提升边际安全非法接入、报文窃取、IP地址欺骗、拒绝服务攻击等来自网络层和应用层的攻击常常会耗尽网络资源，让用户网管人员疲于应对。针对这些问题，二、三层的访问控制、防火墙技术、入侵检测、身份验证、数据加密、防病毒都提供了有效的解决途径。而在保障网络边际安全方面，访问控制列表（AccessControlList，ACL）可以说是最先与安全威胁最行交火的生力军。ACL是对通过网络接口进入网络内部的数据包进行控制的机制，分为标准ACL和扩展ACL（ExtendedACL）两种。标准ACL只对数据包的源地址进行检查，扩展ACL对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路由器接口的指令列表，ACL已经在一些核心路由交换机和边缘交换