访问控制列表(二)
四、访问控制列表的种类<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1) 标准访问控制列表:只对源IP地址进行过滤。
2) 扩展访问控制列表:对源IP地址、目的IP地址、源端口和目的端口
标准的访问控制列表根据数据包的源IP地址来接受和拒绝数据包,标准访问控制列表的列表号上1-99
标准访问控制列表的配置:
(1)access-list 和show access-list:配置和显示访问列表
router(config)#access-list access-list-number {permit|deny} source [source-wildcard] [log]
router(config)#no access-list access-list-number
source:指数据包的源地址,可以是主机地址、也可以是网络地址。
Source-wildcard:用来跟源地址一起来决定哪些位需要进行匹配操作。
Log(可选项):生成相应的日志信息。
(2)access-group:访问控制列表与入出口联系。
Router(config-if)#ip access-group access-list-number {in|out}
(3)标准访问控制列表的配置:
1、 允许特定源的通信量通过
1) 创建允许172.16.0.0的流量通过ACL
Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
Router(config)#ip access-list 1 deny any
2) 应用到E0和E1的出口方向
Router(config)#interface F0/0
Router(config-if)#access-group 1 out
Router(config)#interface F0/1
Router(config-if)#ip access-group 1 out
2、 拒绝特定主机的通信流量
1) 创建拒绝来自172.16.1.13的流量的ACL
Router(config)#access-list deny host 172.16.4.13
Router(config)#access-list permit 0.0.0.0 255.255.255.255
2) 应用到接口的出口方向上
Router(config)#interface F0/0
Router(config-if)#access-group 1 out
Router(config)#interface F0.1
Router(config)#ip access-group 1 out
3、 拒绝特定子网的通信流量
1) 创建拒绝子网172.13.4.0的流量的ACL
Router(config)#access-list 1 deny 172.16.4.0 0.0.0.255
Router(config)#access-list 1 permit any
2) 应用到接口的E0的出向口
Router(config)#interface F0/0
Router(config-if)#ipaccess-group 1 out
六、扩展的访问控制列表
扩展的访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。
扩展访问控制列表的流程图:
|
常有的端口号
| |||
|
端口号
|
关键字
|
描述
|
TCP/UDP
|
|
20
|
FTR-DATA
|
文件传输协议(数据)
|
TCP
|
|
21
|
FTP
|
文件传输协议(控制)
|
TCP
|
|
23
|
TELNET
|
终端的链接
|
TCP
|
|
25
|
SMTP
|
间的的邮件传输协议
|
TCP
|
|
42
|
NAMESERVER
|
主机名字服务器
|
UDP
|
|
53
|
DOMAIN
|
域名服务DNS
|
TCP/UDP
|
|
69
|
TFTP
|
普通文件传输协议
|
UDP
|
|
80
|
WWW
|
万维网
|
TCP
|
七、扩展访问控制列表的应用和配置
1、扩展访问控制列表的配置
Router(config)#access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard] [oprator operan] [established] [log]
Access-list-number:访问控制列表号是;100-199
Protocol:用来指定的协议类型有:ip tcp udp icmp…
source destination源和目的地址
source-wildcard destination-wildcard反码
oprator operan:lt(小于)gt(大于)eq(等于)neq(不等于)和一个端口号。
2、访问控制列表的应用
A. 拒绝所有从172.16.4.0到172.16.3.0的ftp通信量通过E0
1) 创建拒绝来自172.16.4.0去往172.16.3.0的ftp的ACL
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 101 permit ip any any
2) 应用到接口E0的出口方向上
Router(config)#interface F0/0
Router(config-if)#ipaccess-group 101 out
B. 拒绝来自指定子网的telnet的通信流量
建立拒绝来自指定72.16.4.3去往 172.16.3.0的telnet的ACL
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(config)#access-list 101 permit ip any any
应用到E0的出方向口
Router(config)#interface F0/0
Router(config-if)#ip access-group 101 out
转载于:https://blog.51cto.com/lorna8023/207867