ACL

                     ACL

Standard  1-99  标准的访问列表
Extended  100-199  扩展的访问列表
路由器对自己产生的包不作过滤
Show ip access-list
 
注意在接口下调用ACL,不要破坏邻居关系和路由的传输
Access-list 100 permit ip 2.2.2.2 0.0.0.0 host 3.3.3.3 允许2访问3
Access-list 100 permit ospf any any   允许路由信息过去
默认的deny语句
 
 
No 10  在命名访问列表中去掉一条语句
10 permit icmp host 2.2.2.2 host 3.3.3.3  加入一条语句
15 permit tcp any any
 
ICMP 去的时候是echo包,回来的时候是echo-reply包
10 permit icmp host 2.2.2.2 host 3.3.3.3 echo  只允许echo包过去
10 permit icmp host 2.2.2.2 host 3.3.3.3 echo-reply 只允许echo-reply包过去
 
ACL可在VTY下调用,但只能用标准列表
Access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet  只允许1.1.1.1能够telnet到3.3.3.3上去
Access-list 100 permit ospf any any  
 
Access-list 100 permit tcp host 1.1.1.1 eq telnet host 3.3.3.3  只允许1.1.1.1的23端口访问3.3.3.3的任意端口
 
Line vty 0 4
Access-class 10 in  在VTY接口下调用,作用同上,  但要注意只能用标准列表,不能用扩展列表,用扩展列表不起作用。
Access-list 10 permit 1.1.1.1
 
telnet 3.3.3.3 /source interface lo0
 
 
 
              动态ACL   dynamic ACL
思路:让主机先在网关服务器认证,才能出去
在服务器上先允许主机登录网关服务器,通过认证后,动态生成一条允许主机通过的ACL
1、 username cisco password cisco  设主机名和密码
2、 ip access-list extended wolf  定义命名访问列表并在入口调用
       permit tcp host 12.1.1.2 host 12.1.1.1 eq telnet
3、 line vty 0 4   起用用户名和密码
       login local
4、 ip access-list extenede wolf
       dynamic gz permit ip host any any
       dynamic gx timeout 5 permit ip any any 作用同上,注意这里的5分钟是绝对时间,表示你只能上5分钟
5、 line vty 0 4   在line下调用
       autocommand access-enable host timeout 1  这里的1分钟是相对时间,只要在1分钟内有联系就不会断开,不加这一时间表示不超时
       
R1#access-enable host timeout 1 在特权模式下调用
 
 
 
                   Establish ACL
允许ACK/RST=1的TCP报文通过,通常用于只允许内部的主机向外部发起TCP连接,不允许外部的主机向本网发起TCP连接
Ip access-list extended 100
5 permit tcp host 3.3.3.3 eq telnet host 12.1.1.2 establish 注意这条语句的方向性,允许源的23端口访问我的任意端口,但ASK必须置位
10 deny ip any any
注意在外网的入口上调用这一列表
 
将路由器模拟成主机
No ip routing   关闭路由功能
Ip default-gateway  12.1.1.1  指网关
 

你可能感兴趣的:(acl)