访问控制列表（二）

四、访问控制列表的种类

1)      标准访问控制列表：只对源 IP 地址进行过滤。

2)      扩展访问控制列表：对源 IP 地址、目的 IP 地址、源端口和目的端口

   标准的访问控制列表根据数据包的源 IP 地址来接受和拒绝数据包，标准访问控制列表的列表号上 1-99

   标准访问控制列表的配置：

（1） access-list 和 show access-list: 配置和显示访问列表

router （ config ） #access-list access-list-number {permit|deny} source [source-wildcard] [log]

router(config)#no access-list access-list-number

source ：指数据包的源地址，可以是主机地址、也可以是网络地址。

Source-wildcard ：用来跟源地址一起来决定哪些位需要进行匹配操作。

Log （可选项）：生成相应的日志信息。

（2） access-group ：访问控制列表与入出口联系。

Router （ config-if ） #ip access-group access-list-number {in|out}

（3） 标准访问控制列表的配置：

 

1、          允许特定源的通信量通过

1)      创建允许 172.16.0.0 的流量通过 ACL

Router （ config ） #access-list 1 permit 172.16.0.0 0.0.255.255

Router （ config ） #ip access-list 1 deny any

2)      应用到 E0 和 E1 的出口方向

Router （ config ） #interface F0/0

Router （ config-if ） #access-group 1 out

Router （ config ） #interface F0/1

Router （ config-if ） #ip access-group 1 out

2、          拒绝特定主机的通信流量

1)      创建拒绝来自 172.16.1.13 的流量的 ACL

Router （ config ） #access-list deny host 172.16.4.13

Router （ config ） #access-list permit 0.0.0.0 255.255.255.255

2)      应用到接口的出口方向上

Router （ config ） #interface F0/0

Router （ config-if ） #access-group 1 out

Router （ config ） #interface F0.1

Router （ config ） #ip access-group 1 out

3、          拒绝特定子网的通信流量

1)      创建拒绝子网 172.13.4.0 的流量的 ACL

Router （ config ） #access-list 1 deny 172.16.4.0 0.0.0.255

Router （ config ） #access-list 1 permit any

2)      应用到接口的 E0 的出向口

Router （ config ） #interface F0/0

Router （ config-if ） #ipaccess-group 1 out

六、扩展的访问控制列表

扩展的访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。

扩展访问控制列表的流程图：

 

 

常有的端口号
端口号	关键字	描述	TCP/UDP
20	FTR-DATA	文件传输协议（数据）	TCP
21	FTP	文件传输协议（控制）	TCP
23	TELNET	终端的链接	TCP
25	SMTP	间的的邮件传输协议	TCP
42	NAMESERVER	主机名字服务器	UDP
53	DOMAIN	域名服务 DNS	TCP/UDP
69	TFTP	普通文件传输协议	UDP
80	WWW	万维网	TCP

七、扩展访问控制列表的应用和配置

1 、扩展访问控制列表的配置

Router （ config ） #access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard] [oprator operan] [established] [log]

Access-list-number: 访问控制列表号是 ;100-199

Protocol: 用来指定的协议类型有： ip tcp udp icmp…

source  destination 源和目的地址

source-wildcard destination-wildcard 反码

oprator operan ： lt （小于） gt （大于） eq （等于） neq （不等于）和一个端口号。

2 、访问控制列表的应用

A.     拒绝所有从 172.16.4.0 到 172.16.3.0 的 ftp 通信量通过 E0

1)      创建拒绝来自 172.16.4.0 去往 172.16.3.0 的 ftp 的 ACL

Router （ config ） #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

Router （ config ） #access-list 101 permit ip any any

2)      应用到接口 E0 的出口方向上

Router （ config ） #interface F0/0

Router （ config-if ） #ipaccess-group 101 out

 

B.     拒绝来自指定子网的 telnet 的通信流量

建立拒绝来自指定 72.16.4.3 去往 172.16.3.0 的 telnet 的 ACL

Router （ config ） #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

Router （ config ） #access-list 101 permit ip any any

应用到 E0 的出方向口

Router （ config ） #interface F0/0

Router （ config-if ） #ip access-group 101 out