ACL笔记

正确使用和配置访问列表是一个路由器至关重要的部分，贡献出有效率的和优化你的网络，访问列表给网络管理带来了贯穿网络的巨大交通流动控制，管理人员可以数据包流收集基本统计，和安全政策可以被实现，敏感的设备可以被保护，让未经许可访问不能访问到它。

访问列表能使用或者拒绝数据包在路由器之间的移动，许可或者拒绝Telnet（VTY）在路由器之间访问，和建立dial-on demand(DDR), 有意义交通，触发拨号到一个远程位置。

ACCESS LIST
访问列表是十分重要条件列表，它控制访问。强大的工具控制访问在网段之间，它过滤不需要的数据包和实现安全政策，随着访问列表，网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策，IP 和IPX Access Lists 工件得非常类拟，他都比较过滤的数据包，分类,一旦Access Lists建立起来，他们可以应用到内范围和外范围网络交通在任何接口，应用Access Lists将致使路由器去分析每一的穿过接口的数据包在指定方向和行为根据。
下面是一些当Access Lists开始比较数据包的遵循的重要的规则
它总是按顺序比较Access Lists的每一条线看，从线1，线2， 线3
它比较Access Lists的线直到匹配为止，，一旦数据包匹配Access Lists，它会遵循，并且比较不再发生
暗示的拒绝将在Access Lists的底部。它的意思是如果一个数据包不有匹配任何Access Lists的线，它将被丢弃
每一个规则都有某些强大的含义当Access Lists过滤IP和IX数据包的时候。
有两类Access Lists类型使用IP和IPX：
standard Access Lists: 只过滤网络来源IP地址，基本上许可或者拒绝全部的协议，IPX standards可以过滤来源和目标IPX地址
extended access list：它检查来源和目标IP地址，网络层报头的协议段，和传输层报头端口编号，IPX extended Access List 使用来源和目标IPX地址，网络层报头的协议段，和传输层报头socket 编号

一旦你建立了一个Access Lists，你应用它到一个inbound or outbound list 接口
inbound Access Lists: 数据包路由到outbound接口之前，先通过Access Lists处理。
outbound Access Lists:数据包路由到outbound接口然后处理它通过Access Lists。

仍有一些Access Lists方针当建立和实现Access Lists在一个路由器时我们应该遵循，你可以只分配一个Access Lists到一个接口，一个协议，或者一个方向，这个意思是你只能有一个inbound Access Lists和一个ountbound Access Lists在一个接口组织你Access Lists以便更多的明确的测试在Access Lists的顶端，在任何时候一个新的Lists加到Access Lists将被放在list的底部你不能移动Access Lists里面的line， 如果你想移动它你将移动全部的list, 最好在编辑它之前拷贝Access Lists到一个正文编辑。它只例外情况当使用名字Access Lists。
除非你在到达Access Lists的结束之前获得许可，所有的数据包将会丢弃，否则你只有关闭接口了。
建立一个Access Lists和应用它他到一个接口，任何Access Lists 到接口的将无法应用如果没有一个Access Lists呈递。
Access Lists是设计应用到过滤通过路由器交通，所以他们只会过滤到路由器的数据包而不会过滤来自路由器的数据包。
把IP standard Access Lists尽量放在接近目标的地方
把IP extended Access Lists尽量放在接近来源的地方

standard IP access lists
这使用来源IP地址，你使用Access Lists编号1-99建立一个standard IP Access Lists
Router(config)# access-list 10 deny ..........
现在有三个选择可供使用，你可以使用任何命令去许可或者拒绝任何主机或者网络，
你可以使用一个IP地址去指定或者匹配一个明确的网络或者IP主机，
你可以使用host命令去只指定一个明确的的主机
Router(config)# access-list 10 deny host 202.202.202.111
Router(config)# access-list 10 deny 202.202.202.111也可以

Router(config)# access-list 10 deny any 也可以用下面的
Router(config)# access-list 10 deny 0.0.0.0 255.255.255.255

不过也有另一个方法来指定一个主机，你可以使用通配符，去指定一个网络或者一个子网，你没有选择但可以使用通配符在Access Lists

Wildcards
它是Access Lists指定使用一个主机，网络，或者一部分网络，你需要了解block sizes。block sizes是使用来指定一个地址范围，下面显示某些不同的block sizes可供使用。
64 32 16 8 4
当你需要指定一个地址范围时，你选择最接近最大的的block size，如果你需要指定34 networks. 你需要64，如果你要指定18 主机，你需要32，
202.202.8.0 到 202.202.15.0
15-8=7
7最接近8
所以是202.202.202.8.0
所以是0.0.7.255 从0-7就是8的原因

standard IP Access List example
router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
router(config)#access-list 10 permit any=0.0.0.0 255.255.255.255
访问列表设完，下面是应用到接口
router(config)#int e0
router(config-if)# ip access-group 10 out
以上结果是所有从ethernet 0的接，来自172.16.40.0的数据将被停止

extended ip Access List
在标准IP访问列表里，注意到你该如果阻止全部来自某处的子网, 如果你想他们只能获得访问几个服务器该如何做呢？在标准的访问列表里，你不能允许用户只用网络的一部份，不过扩展IP访问列表可能解决这个问题，它允许你选择你的IP来源和目标地址，还有可以选择端口号码。

router(config)#access-list 110 deny ?
tcp ...........
ip ..................
在这里你要选择访问列表类型，这是非常重要的，你一定要明白如果你想使用应用程序过滤，你必须选择一个允许你通IOS模式的网络协议项目，实例1，如果你要过滤telnet或者ftp，你必须选择TCP，如果你选择IP，你将不能离开网络层，这样你就不能允许任何更高层的过滤。

router(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 ftp
这样你就防止所有的数据包通过FTP经过23端口到172.16.30.2

但这样其实你会拒绝所有的通信，因为访问列表里找不到的将全部被拒绝，所以你要
router(config)#access-list 110 permit ip any any
router(config-if)# ip access-group 110 in
monitoring ip access lists
show access-list : 显示所有，但看不到访问列表接到哪一种接口
show access-list 110: 显示110的所有，但看不到访问列表接到哪一种接口
show ip access-list: 只显示路由器的IP访问列表
show ip interface: 显示哪一个接口设置哪一种访问列表
show run: 显示所有访问列表和接口
IPX access lists
IPX standard: 过滤来源，目标，主机，网络号码（800-899）
ipx extended: 过滤来源，目标，主机，网络号码, socket number（900-999)
ipx sap filter:控制SAP交通(100-1099)
IPX standard: router(config)#access-list 810 permit 20 40
router(config)#int e0
router(config-if)#ipx access-group 810 out
ipx extended access-list number permit/deny protocol source socket destination socket
ipx SAP: access-list number permit/deny source service type
access-list 1010 permit -1(=any) 4 sales(=sap server name)
router(config-if)#ipx input-sap-filter(从项目中停止所有的 SAP更新）
router(config-if)#ipx output-sap-filter（停止某些SAP传出定期的60秒SAP更新）
verity ipx access list
router#sh ipx int
router#sh ipx access