第十章 访问列表

访问列表可以用于允许或拒绝包通过路由器、允许或拒绝TelnetVTY)访问路由器、允许或拒绝来自路由器的Telnet访问,以及创建可以出发拨号到远程站点的流量。

访问列表简介

访问列表基本上是一系列对包进行分类的条件。

一个最常用和最容易理解的使用访问列表的情况是,实现安全策略时过滤不希望通过的包。

数据包和访问列表向比较时遵循的重要规则:

1. 通常是按顺序比较访问列表的每一行。

2. 比较访问列表的各行直到比较到匹配的一行。

3.在每个访问列表的最后是一行隐含“deny”语句-意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。

访问列表有两种类型:

1. 标准的访问列表

2. 扩展的访问列表

3. 命名的访问列表(基于标准和扩展之间的)

 

用于验证访问列表的配置

Show access-list ===不管列表是否应用到接口上,显示所有的访问列表及其参数。

 

Show ip access-list====只显示路由器上配置的IP访问列表

 

Show ip interface======显示那些接口设置了访问列表

 

Show running-config -====显示访问列表和哪些接口设置了访问列表。

 

标准访问列表:1-991300-1999,只用于源地址做过滤决定

 

扩展访问列表:100-1992000-2699,用于源地址,目的地址,第3层协议字段,端口来决定

 

注:每个访问列表末尾都有一个隐含拒绝的语句

 

ACL作用:限制网络流量,提供网络性能,同时ACL也是网络访问控制的基本安全手段。

 

ACL规则:

1.     对于每个接口,每个方向,每种协议,只能设置1ACL

2.     ACL语句的顺序,先比较第一行再第二行……直到最后一行,找到一条符合条件的语句以后,剩余的语句就不再执行。

3.     不能从ACL中除去一行,这将删除整个ACL,命令访问列表除外。

4.     新的语句只能加在现有语句的最后

5.     创建ACL后要应用在需要过滤接口上,并指明方向

6.     ACL是用于过滤经过路由器的数据包,它并不会过滤路由器本身所产生的数据包。

 

配置标准访问列表:

Router(config)#access-list access-list-number deny | permit source-address source-wildcard

 

注:

Access-list-number:取值1-991300-1999

Deny | permit:拒绝或允许匹配ACL的数据包

Source-address:某一个或某一段源地址

Source-wildcard:通配符掩码

 

应用访问列表到接口

Router(config-if)#ip address-group access-list-number in/out

 

Clear access-list counters ----清空计数器

 

扩展访问列表:

 

Router(config)#access-list access-list-number deny|permit protocol source-address source-wildcard soure-port destnaition address destincation-wildcard

 

ProtocolTCP ,IP ,UDP,ICMP

Port端口号:eq(等于),gt(大于),lt(小于),neq(不等于),rang(范围)等

 

基于时间的访问列表====是在原来标准访问列表和扩展访问列表中加入时间范围来更合理有效地控制网络。

它先定义一个时间范围,然后在原来的各种访问列表的基础上应用它,对于编号访问表和名称访问表均运用。

 

�P ob&i�gsize:10.5pt;line-height:150%;font-family:宋体;color:blue'>端口流量的信息。

 

包括发送和接收的CDP分组的数量,以及CDP出错的信息。

 

Show cdp interface====显示CDP状态

接口线路封装类型,定时器,保持相同。

 

所有端口默认是:cdp enable启用状态

 

检查telnet连接

Show session

检查telnet用户

Show users

关闭telnet会话----exit disconnect

 

在路由器上建立一个主机表命令如下:

ip host host_name tcp_port_number ip_address

查看主机表:show hosts

 

Ctrl+shift+6 再按X返回主控制台