acl

                     ACL

Standard  1-99  标准的访问列表

Extended  100-199  扩展的访问列表

路由器对自己产生的包不作过滤

Show ip access-list

 

注意在接口下调用ACL，不要破坏邻居关系和路由的传输

Access-list 100 permit ip 2.2.2.2 0.0.0.0 host 3.3.3.3 允许2访问3

Access-list 100 permit ospf any any   允许路由信息过去

默认的deny语句

 

 

No 10  在命名访问列表中去掉一条语句

10 permit icmp host 2.2.2.2 host 3.3.3.3  加入一条语句

15 permit tcp any any

 

ICMP 去的时候是echo包，回来的时候是echo-reply包

10 permit icmp host 2.2.2.2 host 3.3.3.3 echo  只允许echo包过去

10 permit icmp host 2.2.2.2 host 3.3.3.3 echo-reply 只允许echo-reply包过去

 

ACL可在VTY下调用，但只能用标准列表

Access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet  只允许1.1.1.1能够telnet到3.3.3.3上去

Access-list 100 permit ospf any any  

 

Access-list 100 permit tcp host 1.1.1.1 eq telnet host 3.3.3.3  只允许1.1.1.1的23端口访问3.3.3.3的任意端口

 

Line vty 0 4

Access-class 10 in  在VTY接口下调用，作用同上,  但要注意只能用标准列表，不能用扩展列表，用扩展列表不起作用。

Access-list 10 permit 1.1.1.1

 

telnet 3.3.3.3 /source interface lo0

 

 

 

              动态ACL   dynamic ACL

思路：让主机先在网关服务器认证，才能出去

在服务器上先允许主机登录网关服务器，通过认证后，动态生成一条允许主机通过的ACL

1、 username cisco password cisco  设主机名和密码

2、 ip access-list extended wolf  定义命名访问列表并在入口调用

       permit tcp host 12.1.1.2 host 12.1.1.1 eq telnet

3、 line vty 0 4   起用用户名和密码

       login local

4、 ip access-list extenede wolf

       dynamic gz permit ip host any any

       dynamic gx timeout 5 permit ip any any 作用同上，注意这里的5分钟是绝对时间，表示你只能上5分钟

5、 line vty 0 4   在line下调用

       autocommand access-enable host timeout 1  这里的1分钟是相对时间，只要在1分钟内有联系就不会断开，不加这一时间表示不超时

       

R1#access-enable host timeout 1 在特权模式下调用

 

 

 

                   Establish ACL

允许ACK/RST=1的TCP报文通过，通常用于只允许内部的主机向外部发起TCP连接，不允许外部的主机向本网发起TCP连接

Ip access-list extended 100

5 permit tcp host 3.3.3.3 eq telnet host 12.1.1.2 establish 注意这条语句的方向性，允许源的23端口访问我的任意端口，但ASK必须置位

10 deny ip any any

注意在外网的入口上调用这一列表

 

将路由器模拟成主机

No ip routing   关闭路由功能

Ip default-gateway  12.1.1.1  指网关