6.7.1 访问列表概述

6.7  访问列表配置

访问控制列表（ACL，Access Control List）是Cisco IOS提供的一种访问控制技术，被广泛应用于路由器和三层交换机。借助ACL，可以有效地控制用户对网络和Internet的访问，从而最大限度地保障网络安全，并使得企业网络不被滥用。

6.7.1  访问列表概述
ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。不过，由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人或无法识别到应用内部的权限类别等。因此，要达到“端到端”的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

1．交换机支持的访问列表
交换机支持IP访问列表和Ethernet（MAC）访问列表。

IP访问列表。过滤IP通信，包括TCP、User Datagram Protocol (UDP)、Internet Group Management Protocol (IGMP)和Internet Control Message Protocol (ICMP)。

Ethernet访问列表。过滤非IP通信。

交换机支持三种访问列表的应用过滤传输：

端口访问列表。也称MAC访问列表。对进入二层接口的通信实施访问控制。交换机不支持外出访问的访问列表。在二层接口可以应用IP访问列表和端口访问列表。

路由访问列表。对VLAN之间以及三层接口之间的通信实施访问控制，并且可以控制进、出双向通信。

VLAN访问列表。也称VLAN映射，对所有包实现访问控制。在同一VLAN的设备之间，可以采用VLAN ACL实施访问控制。VLAN访问列表的配置与访问控制均基于IP地址，不支持基于MAC地址的访问控制。

可以在同一交换机上实施端口访问列表、路由访问列表和VLAN访问列表。不过，端口访问列表优先于路由访问列表和VLAN访问列表。

2．访问列表的类型
Cisco支持三种类型的访问列表，即标准IP访问列表、扩展IP访问列表和命名访问控制列表。

标准IP访问控制列表。标准访问列表只允许过滤源地址，且功能十分有限。当要想阻止来自某一网络的所有通信流量；或者充许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。

扩展IP访问控制列表。扩展访问列表允许过滤源地址、目的地址和上层应用数据，因此，可以适应各种复杂的网络应用。扩展访问控制列表既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性，即可以对同一地址允许使用某些协议通信流量通过，而拒绝使用其他协议的流量通过。

命名访问控制列表。在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样，可以在使用过程中方便地进行修改。

3．配置访问列表应当注意的问题
在设置访问列表时，应当遵循最小特权原则，即只给受控对象完成任务所必须的最小的权限，从而最大限度地保障网络传输安全。所谓最小特权（Least Privilege），是指在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则，则是指应限定网络中每个主体所必须的最小特权，确保可能发生的事故、错误、网络部件的篡改等原因造成的损失最小。最小特权原则一方面给予主体必不可少的特权，保证所有的主体都能在所赋予的权限内完成自己的任务或操作；另一方面，只给予主体必不可少的特权，从而限制每个主体所能进行的操作，以确保企业网络安全。

自上而下的处理过程。访问列表包含一个访问控制条目（Access Control entry，ACE）规则列表。每个ACE都指定“permit”（允许）或“deny”（拒绝），以及应用条件，包会逐个条目顺序匹配ACE。访问列表表项的检测按自上而下的顺序进行，并且从第一个表项开始。这意味着必须特别谨慎地考虑访问列表中语句的顺序。

添加表项。新增加的表项被追加到访问列表末尾，这就意味着不能改变已有的访问列表的功能。如果要改变，就必须创建一个新的访问列表，并删除已经存在的访问列表，并且将新的访问列表应用于接口上。

标准访问列表过滤。标准访问列表只限于过滤源地址，所以，需要使用扩展的IP访问列表来满足企业的特殊需求。

访问列表位置。应当将扩展访问列表尽量放在靠近过滤源的位置上，这样，创建的过滤器就不会反过来影响其他接口上的数据流。而标准访问列表则应当尽量靠近目的的位置。由于标准访问列表只使用源地址，因此，将阻止报文流向其他端口。

语句的位置。由于IP协议包含ICMP、TCP和UDP，所以，应当将具体的表项放在不太具体的表项前面，以保证位于另一个语句前面的语句不会否定表中后面语句的作用效果。

访问列表应用。使用Access-group命令应用访问列表。需要注意的是，只有访问列表被应用于接口上时，才执行过滤操作，从而真正产生作用。

过滤方向。通过接口的数据流是双向的。过滤方向定义了欲检查的是流入还是流出的报文。所以，访问列表要应用到接口的特定方向上。向外的（outbound），表示数据流从三层设备流出；向内的（inbound），表示数据流流向三层设备。

4．访问列表配置步骤

分析需求，找出需求中要保护什么或控制什么；为方便配置，最好能以表格形式列出。

分析符合条件的数据流的路径，寻找一个最适合进行控制的位置。

编写ACL，并将ACL应用到接口上。

测试并修改ACL。