四、访问控制列表的种类 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1) 标准访问控制列表:只对源 IP 地址进行过滤。
2) 扩展访问控制列表:对源 IP 地址、目的 IP 地址、源端口和目的端口
标准的访问控制列表根据数据包的源 IP 地址来接受和拒绝数据包,标准访问控制列表的列表号上 1-99
标准访问控制列表的配置:
(1) access-list 和 show access-list: 配置和显示访问列表
router ( config ) #access-list access-list-number {permit|deny} source [source-wildcard] [log]
router(config)#no access-list access-list-number
source :指数据包的源地址,可以是主机地址、也可以是网络地址。
Source-wildcard :用来跟源地址一起来决定哪些位需要进行匹配操作。
Log (可选项):生成相应的日志信息。
(2) access-group :访问控制列表与入出口联系。
Router ( config-if ) #ip access-group access-list-number {in|out}
(3) 标准访问控制列表的配置:
1、 允许特定源的通信量通过
1) 创建允许 172.16.0.0 的流量通过 ACL
Router ( config ) #access-list 1 permit 172.16.0.0 0.0.255.255
Router ( config ) #ip access-list 1 deny any
2) 应用到 E0 和 E1 的出口方向
Router ( config ) #interface F0/0
Router ( config-if ) #access-group 1 out
Router ( config ) #interface F0/1
Router ( config-if ) #ip access-group 1 out
2、 拒绝特定主机的通信流量
1) 创建拒绝来自 172.16.1.13 的流量的 ACL
Router ( config ) #access-list deny host 172.16.4.13
Router ( config ) #access-list permit 0.0.0.0 255.255.255.255
2) 应用到接口的出口方向上
Router ( config ) #interface F0/0
Router ( config-if ) #access-group 1 out
Router ( config ) #interface F0.1
Router ( config ) #ip access-group 1 out
3、 拒绝特定子网的通信流量
1) 创建拒绝子网 172.13.4.0 的流量的 ACL
Router ( config ) #access-list 1 deny 172.16.4.0 0.0.0.255
Router ( config ) #access-list 1 permit any
2) 应用到接口的 E0 的出向口
Router ( config ) #interface F0/0
Router ( config-if ) #ipaccess-group 1 out
六、扩展的访问控制列表
扩展的访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。
扩展访问控制列表的流程图:
常有的端口号 | |||
端口号 | 关键字 | 描述 | TCP/UDP |
20 | FTR-DATA | 文件传输协议(数据) | TCP |
21 | FTP | 文件传输协议(控制) | TCP |
23 | TELNET | 终端的链接 | TCP |
25 | SMTP | 间的的邮件传输协议 | TCP |
42 | NAMESERVER | 主机名字服务器 | UDP |
53 | DOMAIN | 域名服务 DNS | TCP/UDP |
69 | TFTP | 普通文件传输协议 | UDP |
80 | WWW | 万维网 | TCP |
七、扩展访问控制列表的应用和配置
1 、扩展访问控制列表的配置
Router ( config ) #access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard] [oprator operan] [established] [log]
Access-list-number: 访问控制列表号是 ;100-199
Protocol: 用来指定的协议类型有: ip tcp udp icmp…
source destination 源和目的地址
source-wildcard destination-wildcard 反码
oprator operan : lt (小于) gt (大于) eq (等于) neq (不等于)和一个端口号。
2 、访问控制列表的应用
A. 拒绝所有从 172.16.4.0 到 172.16.3.0 的 ftp 通信量通过 E0
1) 创建拒绝来自 172.16.4.0 去往 172.16.3.0 的 ftp 的 ACL
Router ( config ) #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router ( config ) #access-list 101 permit ip any any
2) 应用到接口 E0 的出口方向上
Router ( config ) #interface F0/0
Router ( config-if ) #ipaccess-group 101 out
B. 拒绝来自指定子网的 telnet 的通信流量
建立拒绝来自指定 72.16.4.3 去往 172.16.3.0 的 telnet 的 ACL
Router ( config ) #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router ( config ) #access-list 101 permit ip any any
应用到 E0 的出方向口
Router ( config ) #interface F0/0
Router ( config-if ) #ip access-group 101 out
转载于:https://blog.51cto.com/lorna8023/207867
