北大青鸟网络工程师(第五章ACL访问控制列表)
北大青鸟网络工程师(第五章ACL访问控制列表)
Control 控制
Permit 允许
Deny 拒绝
Weekend 周末(周六和周日)
Weedkays 在平日(周一到周五)
Periodic 定期的
Absolute 绝对的
Start 开始
访问控制列表(ACL)
1 读取第三层,第四层包头信息
2 根据预先定义好的规则对包进行过滤
ACL 可以分为以下两种基本类型
1 标准访问控制列表:检查数据包的源地址,其结果基于网络,子网,主机IP地址,来决定允许是拒绝转发数据包,它使用1-99之间的数字作为表号
2 扩展访问控制列表,对数据包源地址与目标地址进行检查,它也能检查特定的协议,端口号以及其他参数,它使用100-199之间数字作为表号
3 命名访问控制:列表在标准和扩展访问控制列表中使用名称代替表号
4 定时访问控制列表提供基于时间的附加控制特性,定义在什么时间允许或拒绝数据包
标准访问控制列表配置
Access-list 1 permit 192.168.1.0 0.0.0.255
Access-list 1 permit 192.168.2.2 0.0.0.0
允许192.168.1.0/24和主机192.168.2.2的流量通过
每个ACL都有一条隐含的拒绝句,拒绝所有流量
Access-list 1 deny 0.0.0.0 255.255.255.255
关键字:host ,any
192.168.2.2 0.0.0.0 可以用“host 192.168.2.2”来表示,相应的ACL可改写为:access-list 1 permit host 192.168.2.2
主机192.168.2.2的子网掩码是255.255.255.255 那么反掩码是0.0.0.0
No access-list 1 删除
将ACL应用于接口
Ip access-group 1-99 in|out
取消是:no ip access-group 1-99 in|out
路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由表,而对于外出的数据包先查询路由表,确定目标接口后才能查看出访问控制列表,因此吧访问控制列表应用到入站接口
扩展访问控制列表配置:
应用实例1
Access-list 101 permit ip 192.168.1.0 0.0.0.255
192.168.2.0 .0.0.0.255
应用实例2
Access-list 101 deny icmp 192.168.1.0 0.0.0.255
Host 192.168.2.2 echo
禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2,允许其他任何流量
应用协议端口
HTTp TCP80
FTPTCP20和21
TELNETTCP23
远程桌面连接TCP3389
DNSTCP或UDP53
SMTPTCP25
POP3 TCP110
SSHTCP22
TFTPUDP69
HTTPSTCP443
标准命名ACL应用实例
Ip address-list standard cisco
Permit host 192.168.1.1
Deny deny
允许来自主机192.168.1.1/24的流量通过
定时访问控制列表配置 绝对定时
Time-range mytime
Absolute 8:00 10 may 2009 end 18:00 20 may 2009
Exit
Access-list 101 permit ip any any time-range mytime
Interface f0/0
Ip access-group 101 in
在2009年5月10�~8:00到20日18:00这个时间段
定期访问控制
Time-range mytime
Periodic weekdays 8:30 to 17:30
Exit
Access-list 101 permit ip any any time-range mystime
Interface f 0/0
Ip access-group 101 in
每周正常工作时间(周一到周五的每天8:30到17:30) 允许所有的IP流量通过网络
配置ACL:只允许网管区的ip地址可以通过telnet登陆,并配置设备用户名abc, 密码:abc
Access -list 1 permit 192.168.2.0 0.0.0.255
Username abc password abc
Line vty 0 4
Login local
Access-class 1 in
Exit
视频教程分享:http://www.dwz.cn/lij9D