访问列表大解密 access-list（访问列表）

转载

yushan8398 2009-08-06 14:47:36 博主文章分类：network

文章标签 网络职场 access-list 其他休闲 文章分类 代码人生

CISCO路由器中的access-list（访问列表）最基本的有两种，分别是标准访问列表和扩展

访问列表，二者的区别主要是前者是基于目标地址的数据包过滤，而后者是基于目标地址

、源地址和网络协议及其端口的数据包过滤。

（1）标准型IP访问列表的格式
　　
　　---- 标准型IP访问列表的格式如下：
　　
　　---- access-list[list number][permit|deny][source address]
　　---- [address][wildcard mask][log]
　　
　　---- 下面解释一下标准型IP访问列表的关键字和参数。首先，在access和list这2个

关键字之间必须有一个连字符"-"；其次，list number的范围在0～99之间，这表明该

access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS，在0～99之间

的数字指示出该访问列表和IP协议有关，所以list number参数具有双重功能: （1）定义

访问列表的操作协议; （2）通知IOS在处理access-list语句时，把相同的list number参

数作为同一实体对待。正如本文在后面所讨论的，扩展型IP访问列表也是通过list number

（范围是100～199之间的数字）而表现其特点的。因此，当运用访问列表时，还需要补充

如下重要的规则: 在需要创建访问列表的时候，需要选择适当的list number参数。
　　
　　---- （2）允许/拒绝数据包通过
　　
　　---- 在标准型IP访问列表中，使用permit语句可以使得和访问列表项目匹配的数据包

通过接口，而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address

代表主机的IP地址，利用不同掩码的组合可以指定主机。
　　
　　---- 为了更好地了解IP地址和通配符掩码的作用，这里举一个例子。假设您的公司有

一个分支机构，其IP地址为C类的192.46.28.0。在您的公司，每个分支机构都需要通过总

部的路由器访问Internet。要实现这点，您就可以使用一个通配符掩码 0.0.0.255。因为C

类IP地址的最后一组数字代表主机，把它们都置1即允许总部访问网络上的每一台主机。因

此，您的标准型IP访问列表中的access-list语句如下：
　　
　　---- access-list 1 permit 192.46.28.0 0.0.0.255
　　
　　---- 注意，通配符掩码是子网掩码的补充。因此，如果您是网络高手，您可以先确定

子网掩码，然后把它转换成可应用的通配符掩码。这里，又可以补充一条访问列表的规则5

。
　　
　　---- （3）指定地址
　　
　　---- 如果您想要指定一个特定的主机，可以增加一个通配符掩码0.0.0.0。例如，为

了让来自IP地址为192.46.27.7的数据包通过，可以使用下列语句：
　　
　　---- Access-list 1 permit 192.46.27.7 0.0.0.0
　　
　　---- 在Cisco的访问列表中，用户除了使用上述的通配符掩码0.0.0.0来指定特定的主

机外，还可以使用"host"这一关键字。例如，为了让来自IP地址为192.46.27.7的数据包通

过，您可以使用下列语句：
　　
　　---- Access-list 1 permit host 192.46.27.7
　　
　　---- 除了可以利用关键字"host"来代表通配符掩码0.0.0.0外，关键字"any"可以作为

源地址的缩写，并代表通配符掩码0.0.0.0 255.255.255.255。例如，如果希望拒绝来自IP

地址为192.46.27.8的站点的数据包，可以在访问列表中增加以下语句：
　　
　　---- Access-list 1 deny host 192.46.27.8
　　---- Access-list 1 permit any
　　
　　---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为192.46.27.8的数

据包过滤掉，第2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改

变上述语句的次序，那么访问列表将不能够阻止来自源地址为192.46.27.8的数据包通过接

口。因为访问列表是按从上到下的次序执行语句的。这样，如果第1条语句是:
　　
　　---- Access-list 1 permit any
　　
　　---- 的话，那么来自任何源地址的数据包都会通过接口。
　　
　　---- （4）拒绝的奥秘
　　
　　---- 在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的

通过，即实际上在每个访问列表的最后，都隐含有一条"deny any"的语句。假设我们使用

了前面创建的标准IP访问列表，从路由器的角度来看，这条语句的实际内容如下：
　　
　　---- access-list 1 deny host 192.46.27.8
　　---- access-list 1 permit any
　　---- access-list 1 deny any
　　
　　---- 在上述例子里面，由于访问列表中第2条语句明确允许任何数据包都通过，所以

隐含的拒绝语句不起作用，但实际情况并不总是如此。例如，如果希望来自源地址为

192.46.27.8和192.46.27.12的数据包通过路由器的接口，同时阻止其他一切数据包通过，

则访问列表的代码如下：
　　
　　---- access-list 1 permit host 192.46.27.8
　　---- access-list 1 permit host 192.46.27.12
　　
　　---- 注意，因为所有的访问列表会自动在最后包括该语句.
　　
　　---- 顺便讨论一下标准型IP访问列表的参数"log"，它起日志的作用。一旦访问列表

作用于某个接口，那么包括关键字"log"的语句将记录那些满足访问列表

中"permit"和"deny"条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将

立即产生一个日志信息。后续的数据包根据记录日志的方式，或者在控制台上显示日志，

或者在内存中记录日志。通过Cisco IOS的控制台命令可以选择记录日志方式。
　　
　　扩展型IP访问列表
　　
　　---- 扩展型IP访问列表在数据包的过滤方面增加了不少功能和灵活性。除了可以基于

源地址和目标地址过滤外，还可以根据协议、源端口和目的端口过滤，甚至可以利用各种

选项过滤。这些选项能够对数据包中某些域的信息进行读取和比较。扩展型IP访问列表的

通用格式如下：
　　
　　---- access-list[list number][permit|deny]
　　---- [protocol|protocol key word]
　　---- [source address source-wildcard mask][source port]
　　---- [destination address destination-wildcard mask]
　　---- [destination port][log options]
　　
　　---- 和标准型IP访问列表类似，"list number"标志了访问列表的类型。数字100～

199用于确定100个惟一的扩展型IP访问列表。"protocol"确定需要过滤的协议，其中包括

IP、TCP、UDP和ICMP等等。
　　
　　---- 如果我们回顾一下数据包是如何形成的，我们就会了解为什么协议会影响数据包

的过滤，尽管有时这样会产生副作用。图2表示了数据包的形成。请注意，应用数据通常有

一个在传输层增加的前缀，它可以是TCP协议或UDP协议的头部，这样就增加了一个指示应

用的端口标志。当数据流入协议栈之后，网络层再加上一个包含地址信息的IP协议的头部

。

由于IP头部传送TCP、UDP、路由协议和ICMP协议，所以在访问列表的语句中，IP协议的级

别比其他协议更为重要。但是，在有些应用中，您可能需要改变这种情况，您需要基于某

个非IP协议进行过滤
　　
　　---- 为了更好地说明，下面列举2个扩展型IP访问列表的语句来说明。假设我们希望

阻止TCP协议的流量访问IP地址为192.78.46.8的服务器，同时允许其他协议的流量访问该

服务器。那么以下访问列表语句能满足这一要求吗？
　　
　　---- access-list 101 permit host 192.78.46.8
　　---- access-list 101 deny host 192.78.46.12
　　
　　---- 回答是否定的。第一条语句允许所有的IP流量、同时包括TCP流量通过指定的主

机地址。这样，第二条语句将不起任何作用。可是，如果改变上面2条语句的次序

反向访问列表

　　
　　有5个VLAN,分别为管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。
　　
　　要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问！
　　
　　其它的应用不受影响，例如通过上连进行INTERNET的访问
　　
　　方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。
　　
　　在入方向放置reflect
　　ip access-list extended infilter
　　permit ip any any reflect cciepass
　　!
　　在出方向放置evaluate
　　ip access-list extended outfilter
　　evaluate cciepass
　　deny ip 10.54.48.0 0.0.0.255 any
　　deny ip 10.54.49.0.0.0.0.255 any
　　deny ip 10.54.50.0 0.0.0.255 any
　　deny ip 10.54.51.0 0.0.0.255 any
　　permit ip any any
　　！应用到管理接口
　　int vlan 63
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　方法二：在管理VLAN接口上不放置任何访问列表，而是在其它VLAN接口都放。
　　
　　以办公VLAN为例：
　　
　　在出方向放置reflect
　　ip access-list extended outfilter
　　permit ip any any reflect cciepass
　　!
　　在入方向放置evaluate
　　ip access-list extended infilter
　　deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
　　deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
　　evaluate cciepass
　　permit ip any any
　　!
　　应用到办公VLAN接口：
　　int vlan 48
　　ip access-group infilter in
　　ip access-group outfilter out
　　
　　总结：
　　
　　1） Reflect放置在允许的方向上（可进可出）
　　
　　2）放在管理VLAN上配置简单，但是不如放在所有其它VLAN上直接。
　　
　　3) 如果在内网口上放置: 在入上设置Reflect
　　
　　如果在外网口上放置: 在出口上放置Reflect
　　
　　LAN WAN
　　-
　　inbound outbound
　　
　　4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些

数据流进入
从IOS12.0开始，CISCO路由器新增加了一种基于时间的访问列表。通过它，可以根据一天

中的不同时间，或者根据一星期中的不同日期，当然也可以二者结合起来，控制对网络数

据包的转发。
　　一、使用方法
　　这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时

间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的各种访问列

表的基础上应用它。并且，对于编号访问表和名称访问表都适用。
　　二、使用规则
　　用time-range 命令来指定时间范围的名称，然后用absolute命令或者一个或多个

periodic命令来具体定义时间范围。
　　IOS命令格式为：
　　time-range time-range-name absolute [start time date] [end time date]

periodic days-of-the week hh:mm to [days-of-the week] hh:mm
　　我们分别来介绍下每个命令和参数的详细情况
　　time-range ：用来定义时间范围的命令
　　time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引

用
　　absolute：该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。

在这两个关键字后面的时间要以24小时制、hh:mm（小时：分钟）表示，日期要按照日/月/

年来表示。可以看到，他们两个可以都省略。如果省略start及其后面的时间，那表示与之

相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略

end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生

效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。
　　怎么样，看明白了吗？上面讲的就是命令和基本参数为了便于理解，我们看两个例子

。
　　1、如果要表示每天的早8点到晚8点就可以用这样的语句：
　　absolute start 8:00 end 20:00
　　2、再如，我们要使一个访问列表从2006年10月1日早5点开始起作用，直到2006年10月

31日晚24点停止作用，语句如下：
　　absolute start 5:00 1 December 2000 end 24:00 31 December 2000
　　这样一来，我们就可以用这种基于时间的访问列表来实现，而不用半夜跑到办公室去

删除那个访问列表了。这对于网络管理员来说，是个很好的事情。如果你恰好是网管。。

哇。。。什么也不要讲了，快回去好好配置吧：）。好了接下来，让我们接着看下一个

periodic命令及其参数。一个时间范围只能有一个absolute语句，但是可以有几个

periodic语句。
　　periodic：主要是以星期为参数来定义时间范围的一个命令。它的参数主要有宾

Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合

，也可以是daily（每天）、 weekday（周一到周五）或者 weekend（周末）。

示例一: 带Established选项的扩展访问列表

拓扑:

R2-(S2/0)-----------------(S2/0)-R1(S2/1)---------------(S2/1)-R3

带有Established的扩展访问列表允许内部用户访问外部网络,而拒绝外部网络访问内部网

络,而没带Established的标准访问列表和扩展访问列表没有这个特性.
这个示例首先用OSPF来使全网互联.

R1:

r1#sh run
*Mar 1 00:25:17.275: %SYS-5-CONFIG_I: Configured from console by console
Building configuration...

Current configuration : 1410 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r1
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.2 102 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
ip address 13.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.3 113 broadcast
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end

R2:

r2#sh run
Building configuration...

*Mar 1 00:27:29.871: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r2
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.2 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.1 201 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end

r3#sh run
Building configuration...

Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r3
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/1
ip address 13.1.1.3 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.1 311 broadcast
no frame-relay inverse-arp
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end
监视和测试配置:

我们让R2作为内部网络,R3作为内部网络,以下配置使R2发起访问R3没问题,从R3访问R2则被

拒绝.注意这个配置方案是针对基于TCP的应用,任何TCP通讯都是双向的,从R2发起的访问外

部网络之后,外部网络的流量得以通过,这个时候TCP报文,ACK或RST位被设置为1

R1(configure)access-list 101 permit tcp any any established log-input
R1(configure)access-list 101 permit ospf any any
R1(configure)access-list 101 deny ip any any log-input
R1(configure)int s2/1
R1(configure-if)ip access-group 101 in

以上log-input是为了显示监视数据报文被过滤的情况,接下来用debug ip packet

detailed来监视报文经过R1的情况,应该路由器还有OSPF报文产生,因此我们对DEBUG信息做

了限制.

r1(config)#access-list 102 permit tcp any any

我们这样做让R2发起telnet访问R3
r1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open

r3>
*Mar 1 00:55:53.003: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.003: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 44,

sending
*Mar 1 00:55:53.007: TCP src=11001, dst=23, seq=2398697781, ack=0, win=4128 SYN
*Mar 1 00:55:53.179: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 3.3.3.3(23)

(Serial2/1 ) -> 13.1.1.1(11001), 1 packet
*Mar 1 00:55:53.183: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.183: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 44,

rcvd 3
*Mar 1 00:55:53.187: TCP src=23, dst=11001, seq=949632690, ack=2398697782,

win=4128 ACK SYN
*Mar 1 00:55:53.187: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.191: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.191: TCP src=11001, dst=23, seq=2398697782, ack=949632691,

win=4128 ACK
*Mar 1 00:55:53.199: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.203: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49,

sending
*Mar 1 00:55:53.203: TCP src=11001, dst=23, seq=2398697782, ack=949632691,

win=4128 ACK PSH
*Mar 1 00:55:53.207: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.211: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.215: TCP src=11001, dst=23, seq=2398697791, ack=949632691,

win=4128 ACK
*Mar 1 00:55:53.455: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.455: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 52,

rcvd 3
*Mar 1 00:55:53.459: TCP src=23, dst=11001, seq=949632691, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.459: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.463: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 45,

rcvd 3
*Mar 1 00:55:53.467: TCP src=23, dst=11001, seq=949632703, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.467: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.471: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43,

rcvd 3
*Mar 1 00:55:53.471: TCP src=23, dst=11001, seq=949632708, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.475: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.479: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 46,

rcvd 3
*Mar 1 00:55:53.479: TCP src=23, dst=11001, seq=949632711, ack=2398697791,

win=4119 ACK PSH
*Mar 1 00:55:53.483: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.487: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43,

sending
*Mar 1 00:55:53.487: TCP src=11001, dst=23, seq=2398697791, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.491: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.495: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43,

sending
*Mar 1 00:55:53.495: TCP src=11001, dst=23, seq=2398697794, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.499: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.503: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49,

sending
*Mar 1 00:55:53.503: TCP src=11001, dst=23, seq=2398697797, ack=949632717,

win=4102 ACK PSH
*Mar 1 00:55:53.659: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.663: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43,

rcvd 3
*Mar 1 00:55:53.663: TCP src=23, dst=11001, seq=949632717, ack=2398697797,

win=4113 ACK PSH
*Mar 1 00:55:53.867: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1),

routed via RIB
*Mar 1 00:55:53.867: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40,

sending
*Mar 1 00:55:53.871: TCP src=11001, dst=23, seq=2398697806, ack=949632720,

win=4099 ACK
*Mar 1 00:55:53.963: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1

(Serial2/1), routed via RIB
*Mar 1 00:55:53.967: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 40,

rcvd 3
*Mar 1 00:55:53.967: TCP src=23, dst=11001, seq=949632720, ack=2398697806,

win=4104 ACK

注意R3返回R2的数据报文得以通过,接下来我们测试从R3发起访问R2的情况

r3#telnet 2.2.2.2
Trying 2.2.2.2 ...
% Destination unreachable; gateway or host down
r1#
*Mar 1 01:02:22.779: %SEC-6-IPACCESSLOGP: list 101 denied tcp 13.1.1.3(11002)

(Serial2/1 ) -> 2.2.2.2(23), 1 packet
*Mar 1 01:02:22.783: IP: s=13.1.1.3 (Serial2/1), d=2.2.2.2, len 44, access

denied
*Mar 1 01:02:22.783: IP: tableid=0, s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1),

routed via RIB
*Mar 1 01:02:22.787: IP: s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), len 56,

sending
*Mar 1 01:02:24.139: IP: s=12.1.1.2 (Serial2/0), d=224.0.0.5, len 80, rcvd 0
*Mar 1 01:02:24.315: IP: s=13.1.1.1 (local), d=224.0.0.5 (Serial2/1), len 80,

sending broad/multicast
*Mar 1 01:02:25.139: IP: s=12.1.1.1 (local), d=224.0.0.5 (Serial2/0), len 80,

sending broad/multicast

注意,TCP协议的第一次发送是SYN字段,这是用来同步准备建立一个新连接的两端主机,而

ACK位由接收者置位从而向发送者表明数据已经成功接收.RST(reset)位说明什么时候重新

启动连接.带Eetablished的扩展访问列表只允许ACK或RST位置1的TCP报文通过.

reflect+evalute实现单向访问控制列表的最新实验结果

interface Vlan12
ip address 10.147.18.92 255.255.255.240
ip access-group in-filter in
ip access-group out-filter out
ip helper-address 10.147.17.193
no ip redirects
standby 12 ip 10.147.18.94
standby 12 priority 150
standby 12 preempt

第一步:
ip access-list extended in-filter
evaluate abcd
deny ip any any
ip access-list extended out-filter
permit ip any any reflect abcd
结果从VLAN12上的客户机ping其它VLAN的机器,提示:
Reply from 10.147.18.92: Destination net unreachable.

第二步:
将上面的访问控制列表改为:
ip access-list extended in-filter
permit ip any any reflect abcd
ip access-list extended out-filter
evaluate abcd
deny ip any any
结果从VLAN12的客户机可以ping通其它vlan的机器,但其它vlan的机器ping不通vlan12的机

器.
观察发现,我从vlan12的客户机上ping 其它vlan里面的任何一台机器的话,就会自动生成一

条动态度的

access-list,(假如我从vlan12的机器10.147.18.90 ping vlan1里面的10.147.17.251)
记录如下:
Reflexive IP access list abcd
permit icmp host 10.147.17.251 host 10.147.18.90 (8 matches) (time left 297)
permit udp host 202.96.170.163 eq 8000 host 10.147.18.90 eq 4000 (6 matches)

(time left 247)
permit udp host 224.0.0.2 eq 1985 host 10.147.18.93 eq 1985 (155 matches) (time

left 299)
Extended IP access list in-filter
permit ip any any reflect abcd
Extended IP access list out-filter
evaluate abcd
deny ip any any (289 matches)

第三步:我想实现功能:vlan12里的机器能访问所有其他vlan,除了vlan 2

(10.147.16.0/255.255.255.128)外均

不能访问vlan12:
将访问控制列表改为:
ip access-list extended in-filter
permit ip any any reflect abcd
ip access-list extended out-filter
evaluate abcd
permit ip 10.147.16.0 0.0.0.128 any
deny ip any any
结果一开始几分钟内,除了定义的VLAN2(10.147.16.0/255.255.255.128)外,其它vlan的机

器均ping不通vlan 12 的机器
后来就全部PING
不通,和第二次开发步的结果相同

我用你的方法在cisco3560交换机上测试，应用acl后，双方向都不通了。分析一下怎么回

事，配置如下：
4号口划分到vlan3，48号口划分到vlan2

Switch#sh run
Building configuration...

22:07:10: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 2724 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
no aaa new-model
ip subnet-zero
ip routing
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface GigabitEthernet0/4
switchport access vlan 3
!
...........

!
interface GigabitEthernet0/48
switchport access vlan 2
!
...........
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 10.10.10.1 255.255.255.0
!
interface Vlan3
ip address 192.9.200.253 255.255.255.0
ip access-group in-control in
ip access-group out-control out
!
ip classless
ip http server
!
ip access-list extended in-control
permit ip any any reflect test
ip access-list extended out-control
evaluate test
deny ip 10.10.10.0 0.0.0.255 any
permit ip any any
!
!
control-plane
!
!
line con 0
line vty 0 4
no login
line vty 5 15
no login
!
end

Switch#