ACL要么应用于入站数据流要么应用于出站数据流。


ACL编号范围:

1 ~ 99 和1300 ~ 1999: 标准IP ACL

100 ~ 199和2000 ~ 2699: 扩展IP ACL

600 ~ 699: AppleTalk

800 ~ 899: IPX


标准ACL:

只指定源地址,不指定目标地址


扩展ACL:

查看源IP地址,也查看目标IP地址、协议和端口号。


配置标准ACL

access-list 2 deny 192.168.0.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0. 0.0.255.255


删除

no access-list 2


注释

access-list 10 remark Permit hosts from the 192.168.10.0 LAN


应用于接口:

ip access-group 2 [in | out]


用于限制VTY

access-class 2 [in | out]


创建标准命名ACL

ip access-list [standard | extended] NAME


查看ACL

show access-lists {access-list number | name}


扩展ACL

管理员在扩展ACL语句末尾使用编号或关键字指定TCP/UDP端口号。可使用逻辑运算符,如等于(eq)、不等于(neq)、大于(gt)和小于(lt)。这里的端口号可以是数字也可以是字符

扩展ACL格式

access-list access-list-number {deny | permit | remark} protocol source source-wildcard [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]

protocol 主要指icmp,ip,tcp,udp

operand 主要指eq, neq, gt,lt

established 只支持已建立连接通过的数据流通过


复杂ACL

动态ACL(锁和钥匙):仅当用户使用Telnet连接路由器并通过验证后,其数据流才能穿过路由器

自反ACL:允许数据流离开,但只允许响应路由器内部发起的会话的数据流进入

基于事件的ACL:支持根据一周或一天中的时间来控制访问。


动态ACL的优点:

  • 使用挑战机制验证用户身份。

  • 简化了大型互联网络的管理。

  • 在很多情况下,可降低路由器与ACL相关的处理工作量。

  • 降低了黑客闯入网络的机会。

  • 动态地让用户穿越防火墙,而不影响配置的其他限制

配置方法:
1.创建身份验证的用户名和密码

>username Student password 0 cisco

2. 允许将用户连到路由器的telnet连接。

>access-list 101 permit any host 10.2.2.2 eq telnet

>access-list 101 dynamic router-telnet timout 15 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255

3. 将ACL101应用于S0/0/1

>interface S 0/0/1

>ip access-group 101 in

4. 在Telnet之后验证之后,autocommand将执行,而Telnet会话将终止,5分钟无活动,窗口将关闭。

> line vty 0 4

>login local

>autocommand access-enable host timeout 5


自反ACL

目的:允许出站数据流,但只允许相应路由器内部发起的会话的入站数据流。这样能够更严格地控制哪些数据流可以进入网络,并增强了扩展访问列表的功能。

优点:

  • 有助于保护网络免遭网络黑客的攻击,可内嵌在防火墙中;

  • 可在一定程度上防范欺骗攻击和有些DoS攻击,自反ACL更难欺骗,因为必须满足更多的过滤条件分组才能允许通过。

  • 与基本ACL相比,自反ACL使用起来更简单,且更好地控制哪些分组可以进入网络。

配置:

1. 对路由器进行配置使其跟踪内部发起的数据流

>ip access-list extended OUTBOUNDFILTERS

>permit tcp 192.168.0.0 0.0.255.255.any reflect TCPTRAFFIC

2. 创建一种入站策略,要求路由器检查到来的数据流是否是内部发起的,并将ACL OUTBOUNDFILTERS的自反ACL部分同ACL INBOUNDFILTERS关联起来。

>ip access-list extended INBOUNDFILTERS

>evalute TCPTRAFFIC

3. 将入站和出站ACL都应用于接口:

>interface S 0/1/0

>ip access-group INBOUNDFILTERS in

>ip access-group OUTBOUNDFILTERS out


基于时间的ACL

优点:

让管理员能够更好地控制对资源的访问

让管理员能够控制日志消息。ACL条目在特定时段将数据流写入日志,而不是始终这样做。

配置:

>time-range EVERYOTHERDAY

>periodic Monday Wednesday Friday 8:00 to 17:00


>access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq telnet time-range EVERYOTHERDAY


>interface S0/0/0

>ip access-group 101 out


动态NAT:

使用共有地址池,并以先到先得的原则分配这些地址。当使用私有IP地址的主机请求访问Internet时,动态NAT从地址池中选择一个未被其他主机使用的地址。

静态NAT:

使用本地地址与全局地址一对一映射,这些映射保持不变。

NAT重载:

将多个私有IP地址映射到一个或几个公有IP地址,客户端打开TCP/IP会话时,NAT路由器将为源地址分配一个端口号。


NAT的优点:

  • 让内部网络可使用私有地址以节省注册的公有编址。

  • 提高了连接到公有网络的灵活性。

  • 提供了一致的内部网络编址方案。

  • 提供了网络安全性。


静态NAT配置:

>ip nat inside source static 192.168.10.254 209.165.200.254

>interface serial0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside


动态NAT配置:

>ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 pool NAT-POOL1

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside


重载NAT配置:

>access-list 1 permit 192.168.0.0 0.0.255.255

>ip nat inside source list 1 interface serial 0/1/0 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside


带有公有IP地址池

>ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.224

>access-list 1 permit 192.168.0.0.0.0.255.255

>ip nat inside source list 1 pool NAT-POOL2 overload

>interface serial 0/0/0

>ip nat inside

>interface serial 0/1/0

>ip nat outside


查看方法

>show ip nat translations [verbose]


提前清除

>clear ip nat translation *