1、 访问控制列表如何控制IPSec VPN通信点流量

由于IPSec VPN通信点的流量在解密前都是密文的，所以普通的访问控制列表不能对其进行控制，普通访问控制列表只能控制加密点的流量。所以我们将会使用到通信点ACL进行控制解密后的数据流量。

IPSec VPN流量访问控制入方向流程图

IPSec VPN流量访问控制入方向流程图

1、 首先数据报文进入到设备的入接口将会检查加密报文是否为明文的感兴趣数据流，如果是则可能为黑客伪造的明文通信点流量，数据报文将丢弃；如果不是则查看设备接口的访问控制列表是否允许IPSec VPN加密点之间的流量通信。不允许将直接丢弃报文，如果允许则查看设备中是否有能解密此报文的MAP，如果没有则将不对密文进行解密，直接通过路由对加密数据进行转发；如果拥有解密此报文的MAP，则对数据进行解密。

2、 解密后的明文通信点直接的流量会再次经过一个"通信点ACL"，此ACL用于检查解密后的数据报文中的通信点之间流量是否能够互相访问。若"通信点ACL"不允许，则解密后的数据报文也将丢弃。

IPSec VPN流量访问控制出方向流程图

IPSec VPN流量访问控制出方向流程图

1、 首先明文数据报文到达VPN设备会检查是否匹配IPSec VPN的感兴趣数据流，查看此流量是否需要IPSec VPN加密传输，如果不匹配则进行正常的数据转发；如果匹配感兴趣数据流则进行"通信点ACL"的检查，若"通信点ACL"不允许则丢弃报文，如果允许则进行IPSec 封装。

2、 封装后的密文数据包在出VPN设备接口时会检查接口是否有出接口方向的ACL，如果有则检查ACL是否允许两个加密点的通信，若不允许则丢弃此加密报文。

注：如果没有配置"通信点ACL"，默认是全部流量均为允许。

2、相关实验命令

实验环境，假设IPSec VPN已经建立完成，两端通信点的网段分别为总部的192.168.1.0/24网段和分支的192.168.2.0/24网段，现在需要限制分支主机192.168.2.100访问总部服务器192.168.1.100的telnet端口，其余端口均可以正常访问。

思科配置通信点ACL命令如下：

1、在总部VPN设备上配置即将调用的"通信点ACL"

access-list 100 deny tcp host 192.168.2.100 host 192.168.1.100 eq telnet

//创建名称为100的访问控制表，拒绝192.168.2.100访问192.168.1.100的telnet端口

access-list 100 permit ip any any

//允许其余端口访问

2、在总部的VPN设备的IPSec VPN MAP中调用此访问控制列表

Crypto map GWJYZ 1 ipsec-isakmp

//进入名为"GWJYZ"的IPSec VPN MAP

Set ip access-group 100 in

//调用访问控制列表在in方向，此访问控制列表作为"通信点ACL"使用

至此，分支主机192.168.2.100无法访问总部服务器192.168.1.100的telnet端口，其余端口均可以正常访问。

以上内容均为本人对所掌握知识总结归纳所创作的原创文章，希望能给大家的学习过程带来帮助，如有技术理解错误希望能够得到大家的指正，大家共同学习，共同进步。

欢迎关注我的头条号，私信交流，学习更多网络技术！