访问控制列表ACL

1. 访问控制列表ACL

• ACL（Access control Lists）

1. 原因：控制流量出入
2. 应用：优先级判断（Queue List）、按需拨号、路由表过滤
3. 类型：

1. 标准访问列表（standard access lists） 列表编号1-99,1300-1999
2. 扩展访问列表（extended access lists） 列表编号：100-199,2000-2699

1. 标准访问列表

根据源地址对IP包实施过滤

1. ACL的过滤流程：拒绝或者允许
   • ACL配置

1. 创建ACL
2. 指定ACL表号
3. 每接口、每协议、每方向只能有一个访问列表
4. ACL中，输入列表条目的顺序就是IOS测速的顺序
5. 记住：把最严格的条目写在最上面
6. ACL最后一句默认是拒绝访问
7. ACL映射到接口之前先做好ACL
8. ACL对穿越路由器和到达路由器的流量起作用
   • 范例

1. 允许一个源网络地址172.16.0.0的的通信流量通过，阻塞其它所有的通信流量

#access-list 1 permit 172.16.0.0 0.0.255.255   创建ACL

(implict deny all)

#interface ethernet 0

#ip access-group 1 out  从E0口出去的流量应用ACL

#interface ethernet 1

#ip access-group 1 out  从E1口出去的流量应用ACL

1. 拒绝一个特定主机的通信流量，把所有其它流量从E0口发送出去

#access-list 1 deny 172.16.4.13 0.0.0.0    

access-list deny host 172.16.4.13 

#access-list permit 0.0.0.0 255.255.255.255

#interface ethernet0

#ip access-group 1 out

1. 拒绝一个特定子网的通信流量

#access-list 1 deny 172.16.4.0 0.0.0.255

#access-list 1 permit 0.0.0.0 255.255.255.255    access-list 1 permit any

1. 扩展的ACL，拒绝FTP通信流量通过E0

#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 (tcp协议21用于控制)

#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20（tcp协议20用于传输）

#access-list 101 permit ip any any  任何源到任何目的

#

#

1. 扩展ACL，拒绝TELNET流量通过E0

#access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

# access-list 101 permit ip any any

#

#

1. • 命令
2. 常用命令

#ip access （standard | extended）

#ip access list test…

#ip access-group name （in | out）

1. 对访问本地路由器的TELNET流量实施过滤

#access-list 12 permit 192.89.55.0 0.0.0.255

#line vty 0 4

#access-class 12 in

1. 检查ACL

#show ip interface e0

#show access-lists

 

复习：ACL

功能：流量控制、匹配感兴趣的流量

概念：路由器和交换机接口的指令接口，控制端口进出的指令包

分类：标准 1-99 ,1300-1999基于源IP地址过滤

      扩展 100-199，2000-2699基于源、目的IP地址过滤，基于源、目的端口、协议进行控制

原则：3P，基于每一种协议、每一个方向、每一个接口配置ACL

原则：入站ACL、出站ACL

配置指南：编号指明哪种协议、内容决定了控制列表的顺序、严格限制条件放在最上面、结尾默认deny所以源访问所以目的, 先创建访问列表，访问控制不能控制路由器自己产生的数据

配置：

#no ip routing 关闭路由功能

#创建列表

#接口下分组调用

#access-list 100 deny any any

#access-list 100 permit ip any any 写在每个列表的结尾，防止默认控制列表

#access-list 1 per host IP  标准访问控制列表

#no access-list 100 deny

#ip access-list extended 100 … 插入一条控制列表 根据编号10、20、30。。。

#line vty 0 4 运行远程登录从0 4   基于能ping通的基础上远程登录

#password 123

#login

#exit

#enable password

#telnet 1.1.1.1

Password:123

#enable

#5 per tcp host 192.168.1.1 host 1.1.1.1 eq 23(目的端口23)

#10 deny tcp any host 1.1.1.1 eq 23

#15