Cisco交换机图形设置扩展ACL的配置及应用技巧

无论是在Cisco路由器还是Cisco交换机等网络设备上，标准的ACL访问控制列表都无法同时匹配通信源地址和目的地址的特征，也无法满足当今网络世界“颗粒化”控制的要求，例如as：允许访问某台服务器的某项服务功能，但不允许ping该服务器。 那么，就需要使用扩展ACL来代替标准ACL的应用。 在实际应用控制中，扩展ACL似乎比标准ACL更受管理员欢迎。

演示目标：配置扩展ACL，为网络应用提供更“细粒度”的控制。

演示环境：使用演示标准ACL的配置部分，如下图ACL演示环境所示。

演示背景：需要主机A（192.168.1.2）访问服务器A的WEB服务； 但主机无法ping通服务器A所在子网； 允许主机Ping通服务器B和服务器C所在子网。 请使用扩展ACL来完成上述控制需求，并思考ACL应用在哪里。

演示步骤：

步骤1：保留前面实验的所有基本配置，但请删除所有原来的标准ACL配置，然后根据演示背景要求完成以下扩展ACL配置。 建议在路由器R1上完成此配置，因为扩展ACL可以同时匹配通信源地址和目的地址，并且可以应用于距离通信源较近的位置。

R1()#-.168.1.00.0.0..168.5。

*定义扩展ACL列表101（基于IP的扩展ACL编号的取值范围为100-199）；.168.1.00.0.0..168.5。 表示允许源子网192.168.1.0的TCP端口到目的地址192.168.5.2 80访问。 注意语句中之一个IP子网和反码表示通信的源子网和对应的反码； 第二个IP地址192.168.5.2被主机声明为特定主机。

R1()#-.168.1.00.0.0..168.5.2

*定义扩展 ACL 列表 101 的第二条语句拒绝源子网 192.168.1.0 通过 ICMP 协议访问目标主机 192.168.5.2。

R1()#-.168.1.00.0.0..168.4.2

*第三条语句定义了扩展ACL列表101，允许源子网192.168.1.0通过ICMP协议访问目标主机192.168.4.2。

R1()#-.168.1.00.0.0..168.3.2

*第四条语句定义了扩展ACL列表101，允许源子网192.168.1.0通过ICMP协议访问目标主机192.168.3.2。

R1()#/0

R1(-如果)#-

R1(-if)#退出

建议：将其应用到路由器 R1 的 E1/0 接口，这是距离源子网最近的位置。 这样做可以使ACL的利用率更高，流量更合理，因为扩展ACL可以同时匹配源地址和目的地址。 所以理论上来说，只要能够满足控制标准，就可以应用在任何有流量经过的设备上。 不过，建议将其应用在距离源子网最近的位置，因为不需要将最终过滤的流量转发到目的地或中途。 在丢弃之前，这对于宝贵的带宽利用率来说是不科学的。

步骤2：完成上述配置后，在主机A（192.168.1.2） *** 问服务器A的WEB服务，然后ping服务器A、B、C。如果配置正确，应该得到如图所示的状态如下图。 这与背景说明中的控制要求一致。

步骤3：为了检查路由器R1上的过滤状态，可以通过在R1上执行-lists命令来检查ACL匹配状态，如下图10.13所示。 可以看出，允许5个WWW包； 8. 从A发往服务器的ICMP数据包被拒绝； 分别允许发往服务器 B 和 C 的 4 个 ICMP 数据包。

有关 ACL 的其他输入表格和应用说明

在前面的章节中，我们介绍了标准ACL和扩展ACL的应用，并演示了具体的配置过程。 本节主要总结ACL的应用事项，包括ACL的输入形式和ACL的应用位置。 、添加和删除ACL条目，如下：

关于ACL语句的输入形式：

-.168.100.1 等于 -.168.100.10.0.0.0 的函数。 语句中的host声明配置的地址是主机地址。 它等于反码的完全匹配(0.0.0.0)。 反码以完全匹配的形式出现。 code，表明匹配的IP地址是主机IP地址。

-.0.0.0255.255.255.2550.0.0.0255.255.255。 等于-的函数。 语句中的源IP地址和目的IP地址均为0，表示源IP地址和目的IP地址可以是任意IP地址； 源地址和目的地址的补码都是255，表示没有任何一位粗心，相当于扩展ACL中源IP地址和目的IP地址都以any关键字出现的情况； eqwww 等于 eq80，因为 TCP 端口 80 是众所周知的 www 服务端口，但这里需要注意一下。 如果Web服务器端口没有使用众所周知的80端口，并且出于某些安全原因或者特殊要求，服务器管理员自定义了Web服务端口号，那么当进入ACL时，就只能声明具体的eq关键字后面的端口号不能是www，否则ACL将无法完成匹配。

-92.168.1..168.2.2 等于 -.168.1.20.0.0.0192.168.2.20.0.0.0； ACL语句中的源IP和目标IP都是具体的主机IP地址，因此可以使用host关键字声明主机地址，与补码的完全匹配形式含义相同。

关于ACL应用位置的设计：

ACL只关心源地址，因此它必须应用于最接近控制目标的接口位置。

n扩展ACL同时关心源地址和目的地址。 建议将其应用到距离控制源最近的接口位置。 这可以优化流量并减少骨干网络上不必要的流量开销。

n同一接口、同一协议、同一方向只能应用一个访问控制列表。

n访问控制列表只能过滤经过该路由器的流量，对应用该访问控制列表的路由器本地产生的流量不生效。

关于传统IOS版本中ACL条目的增删

在传统的IOS版本中，添加或删除ACL条目是一件非常痛苦的事情，因为当路由器后面配置了一个ACL的多个语句时，如果你想在ACL中添加一条过滤语句，那么这条添加的语句终究会出现现有的ACL语句，这将导致安全漏洞并导致网络的危险行为。 为了更好地理解这一点，我们举个例子：

用户首次完成文章撰写：

之一条语句：-.168.1..168.2.1

第二条语句：-y

现在用户想更改原来的ACL语句，在上述两条语句之间添加如下ACL语句：

-.168.3..168.4.1

但是当你完成添加后，添加的语句会被放在最后，如下图所示。 这样，它的匹配顺序也如图所示。 最后添加的语句位于 ACL 列表的末尾，并且第二条语句允许任何流量，因此不会给第三条语句匹配的机会。 那么第三条语句永远不会生效，尽管你之前可能希望它生效，但实际上它不会。 类似于微机原理中的栈原理，先进入。 先打 *** 了。

因此，在传统的IOS中，修改ACL就成为管理员头疼的问题。 通常，管理员会将当前的ACL复制到一个文本文件中添加或删除语句，然后将原来在路由器上配置的ACL通过-全部清除的方式传递出去，然后将文本文件中修改后的ACL复制到路由器中。 达不到一一修改ACL语句的效果。

使用 ACL 的增强编辑功能添加和删除 ACL 条目

新的IOS将打破传统IOS修改ACL条目的限制。 如下图所示，它为每个ACL语句添加一个序列号。 例如，之一个ACL语句的序号是10，第二个ACL语句的序号是10。 是20。以10为基数序号输入之一个ACL。 然后，输入一条新的ACL语句，并将其递增10。因此，如果需要在序列号10到20之间添加ACL语句，则只需添加10到20之间的序列号，新的ACL语句就可以了。 ACL 语句将存在于 10 到 20 之间。

例如，现在在10到20之间添加一条序列号为15的ACL语句，具体配置如下。 配置语句中的15表示要插入的ACL语句的序号。 配置完成后，可以在路由器上使用-lists查看每条ACL语句，如下图10.16所示。 可以看到，序列号10和20之间出现了序列号为15的ACL语句，突破了传统IOS ACL语句。 编辑难度，增强ACL编辑能力。

在两个 ACL 语句之间插入序列号为 15 的配置：

R1()#-

R1(-ext-nacl)#.168.3..168.4.1

##

IOS有很多版本。 使用时如何知道哪些IOS版本支持ACL增强编辑功能，哪些IOS版本不支持ACL增强编辑功能？ 这很简单。 用户不需要记住IOS的版本号，因为它确实是一件很难记住的事情。 通过-lists可以直接查看ACL列表。 如果显示结果中每条ACL语句前都有序号，则说明设备支持ACL的增强编辑功能，反之亦然。 不。

问题：为什么IOS系统在为ACL语句插入序号时自动使用10作为基数（之一个ACL语句的序号）？ 并使用 10 作为递增数来插入后续的 ACL 序列号？

其实这也是为了方便编辑ACL。 当生成之一个ACL语句时，序列号基数设置为10。这是为了在原来的之一个ACL语句之前保留插入ACL的空间。 至少用户仍然可以插入1-9条ACL语句，同样的道理也适用于后续使用10作为增量数的ACL。 当然，用户可以根据自己的需要更改之一个ACL自动插入时的基数以及后续ACL生成的增量数，但我建议保留默认配置。