巧用实例帮助理解ACL 的使用

文/王首

本文选取了两个实用例子，通过解决两种在网络中经常会遇到的问题向读者展示了如何更好地理解和应用ACL。

摘 要

Router(config-if)#ip add 192.168.10.1255.255.255.0Router(config-if)#no shRouter(config-if)#int f0/1Router(config-if)#ip add 192.168.20.1255.255.255.0Router(config-if)#no shRouter(config-if)#int f1/0Router(config-if)#ip add 192.168.30.1255.255.255.0Router(config-if)#no shRouter(config-if)#exitRouter(config)#此时经过测试，三个部门间都可以互通。ACL 设置：分析：要求销售部不能访问会计室，也就是说来自于销售部网段（192.168.20.0/24）的数据报文要被拒绝，因为其他部门之间不能受影响，所以将此ACL 应用在离会计室最近的接口F1/0 上，数据流方向是从路由器向会计室，所以方向为OUT。Rout e r ( conf ig)#a c c e s s - l i s t 10 deny192.168.20.0 0.0.0.255Router(config)#access-list 10 permit anyRouter(config)#int f1/0Router(config-if)#ip access-group 10 outRouter(config-if)#exit再次进行测试，结果除了销售部不能访问会计室外，其余部门间的互通不受影响。相对于标准ACL，扩展ACL 可以完成的功能就多得多，我们看下扩展ACL 的格式：全局模式下，access-list 序号 permit/deny 协议类型源地址检验码目的地址检验码附加项。其中附加项中包括了对于端口号的选择以及时间的限定。比起标准ACL 来，多了4 个过滤选项，好比门卫检查入场券，上面除了这人从哪儿来的，还包括了来宾类型、到哪儿去，从哪个入口走，在什么时间段内通过，对数据报文的过滤选项多了，可实现的功能也就多了。如下例：路由器上连接着教师机和学生机，要求教师可以远程登录路由器进行管理，学生可以拼通路由器，但不允许远程登录，如图2。

IP 地址规划： 教师机 192.168.10.0/24

GW:192.168.10.1

学生机 192.168.20.0/24 GW:192.168.20.1

路由器基础设置略。

路由器TELNET 设置：

Router(config)#enable secret 0 ruijie

Router(config)#line vty 0 4

Router(config-line)#password ruijie

Router(config-line)#login

Router(config-line)#exit

Router(config)#

进行测试，此时教师机学生机都可以远程

登录上路由器

ACL 设置：

分析：要求学生机不能远程登录路由器，但可以通过路由器访问其他机，也就是只拒绝学生的TELNET 数据包，TELNET 数据报文所用为TCP 协议类型，源地址为学生机所在网段，目的地址为路由器接口，所用端口号为23，没有规定时间期限。此ACL 应应用在学生机和路由器的接口上，即F0/1 接口，数据流方向是从学生机向路由器，所以方向为IN。

Router(config)#access-list 100 deny tcp

192.168.20.0 0.0.0.255 host 192.168.20.1 eq 23

Router(config)#access-list 100 permit ip any

any

Router(config)#int f0/1

Router(config-if)#ip access-group 100 in

Router(config-if)#exit

Router(config)#

经过测试，教师机能远程登录，学生机不能远程登录路由器，但仍能拼通路由器。通过以上例子，想必大家对于ACL 的作用和使用方法有了初步了了解，ACL使用灵活，功能强大，具有很强的实用性，通过一定的学习和练习，熟悉地掌握ACL，是每个网络管理人员应该拥有的技能。

参考文献

[1] 王建平, 李晓敏. 网络设备配置与管理[M]. 北京: 清华大学出版社.2010:67-70.

[2] 锐捷 RSR10-02 使用手册 [M]. 锐捷.2010.

作者单位

盐城机电高等职业技术学校 江苏省盐城市

224005