第07章访问控制列表

第七章访问控制列表每个接口，每个方向，每种协议，只能设置1个ACL组织好用户的ACL的顺序不可能从ACL中除去1行，命名访问列表例外默认ACL结尾语句是denyany，所以要记住的是在ACL里至少要有1条permit应用在需要过滤的接口上过滤经过router的数据包不会过滤router本身所产生的数据包IP标准ACL靠近目标地址P扩展ACL靠近源ACL的一些规则什么是ACLACL是应用到路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址，目的地址，端口号等的特定指示条件来决定。ACL的定义是基于每一种协议的。换言之，如果想控制某种协议的通信数据流，那么必须要对该接口处的这种协议定义单独的ACL。•对源IP地址来做过滤•基于IP标准访问控制列表的编号为1~99，1300~1999标准访问列表•比较源IP地址和目标IP地址，层3的协议字段，层4端口号来做过滤•基于IP扩展访问控制列表的编号为100~199，2000~2699扩展访问列表号码式ACL标准号码式ACL阻止来自某一网络的所有通信流量时，或允许来自某一特定网络的所有通信流量时，或想要拒绝某一协议簇的所有通信流量时阻止来自某一网络的所有通信流量时，或允许来自某一特定网络的所有通信流量时，或想要拒绝某一协议簇的所有通信流量时。配置标准号码式IP访问控制列表:CUIT(config)#access-listaccess-list-number{deny|permit}source[source-wildcard][log]把访问控制列表在接口下应用:CUIT(config)#interfacefastEthernet1CUIT(config-if)#ipaccess-group1out参数参数说明access-list-number访问控制列表表号，用来指出入口属于哪一个访问控制列表（对于标准ACL来说，是从1到99的一个数字）deny如果满足测试条件，则拒绝从该入口来的通信流量permit如果满足测试条件，则允许从该入口来的通信流量source数据包的源地址，可以是主机IP地址，也可以是网络地址。source-wildcard（可选）用来跟源地址一起决定哪些位需要匹配操作。参数参数说明log（可选）生成相应的日志信息，用来记录经过的ACL入口的数据包的有关情况。号码式ACL控制VTY（Telnet)访问使用标准的IP访问列表控制访问VTY线路。因为访问列表应用到VTY线路上时，不需要指定Telnet协议，既然访问VTY就隐含了终端访问的意思。也不需要指定目的地址，既然不关心用户使用哪一个接口作为远程登录会话的目标接口。只需控制用户从哪里来——它们的源IP地址。创建一个标准IP访问列表•只允许那些你希望的主机能够远程登录到路由器应用访问控制列表•使用access-class命令将此访问列表应用到VTY线路允许主机172.16.10.3远程登录到该路由器的例子：CUIT(config)#access-list10permit172.16.10.3CUIT(config)#linevty04CUIT(config-line)#access-class10in号码式ACL扩展号码式ACL扩展ACL既检查数据包的源地址，也检查数据包的目的地址。此外，还可以检查数据包的特定协议类型，端口号等。这种扩展后的特性给了网络管理员更大的灵活性，可以灵活多变地设计ACL的测试条件。数据包是否被允许通过出口，既可以基于它的源地址，也可以基于它的目的地址。参数参数说明access-list-number访问控制列表表号permit|deny用来表示在满足测试条件的情况下，该入口是允许，还是拒绝后面指定特定地址的通信流量。protocol用来指定协议类型。SourceAndDestination源和目的，分别用来标识源地址和目的地址。source-wildcardanddestination-wildcard通配符掩码。operatoroperandlt，gt，eq，neq（小于，大于，等于，不等于）一个端口号。established如果数据包使用一个已建连接（例如，具有ACK位组)，便可允许TCP信息量通过。配置标准号码式IP访问控制列表:CUIT(config)#access-listaccess-list-number{permit|deny}protocolsourcesource-wildcarddestinationdestination-wildcard[operatoroperand][established]把访问控制列表在接口下应用(同标准访问控制列表配置)命名式ACL标准命名式ACL标准命名ACL的命令，语法格式如下：CUIT(config)#ipaccess-liststandardname在ACL配置模式下，通过指定一个或多个允许及拒绝条件，来决定一个数据包是允许通过还是遭到丢弃。CUIT(config-std-nacl)#permit{source[source-wildcard]|any}或CUIT(config-std-nacl)#deny{source[source-wildcard]|any}把访问控制列表在接口下应用:CUIT(config)#intfastEthernet1CUIT(config-if)#ipaccess-groupdenystudentout命名式ACL扩展命名式ACL给ACL命名:CUIT(config)#ipaccess-list{standard|extended}name在ACL配置模式下，通过指定一个或多个允许及拒绝条件，来决定一个数据包是允许通过还是遭到丢弃:CUIT(config-ext-nacl)#permit{source[source-wildcard]|any}或CUIT((config-ext-nacl)#deny{source[source-wildcard]|any}把访问控制列表在接口下应用:CUIT(config)#intfastEthernet0CUIT(config-if)#ipaccess-groupdenystudent信息，但是不显示哪个接口应用了哪个ACL的信息showaccess-list[number]显示具体第几号ACL信息，也不显示哪个接口应用了这个ACLshowipaccess-list只显示IP访问列表信息showipinterface显示所有接口的信息和配置的ACL信息showrunning-config显示DRAM信息和ACL信息，以及接口对ACL的应用信息本章小结