SAL

数据通过路由器时进行过滤

访问列表的应用

允许数据包通过路由器

允许拒绝 TeLENT 会话的建立

按需拨号

优先级判断QOS

路由表过滤


 
标准的访问控制列表

检查源地址
通常允许拒绝的是完整的协议

扩展

检查源地址和目的地址

通常允许拒绝的是某个特定的协议
基于协议的

进和出

配置指南
1.访问列表的编号指明了使用的任何协议

的访问列表
2.每个端口 每个方向，每条协议都只能对

应于一条访问列表
3.访问列表的内容决定了数据的控制顺序
4.具有严格限制的条件的语句放在访问列

表的最上面
5、在烦恼过问列表的最后有一条隐藏声明

： deny any  每一条正确的访问列表都至

少应该有一条允许的语句
6.先创建访问列表，然后应用到端口上
7.访问列表不能过滤路由器自己产生的数

据


访问控制列表命令
1.设置访问列表测试语句的参数
router(config)#access-list access-

list-number {permit\deny}  test

conditions

2. 在端口上应用访问列表
 access-group access-list-number
[in \out]

标准   1-88  1300-1999
扩展  100-199  2000-2699
  序列号要一致

配置标准的访问控制列表

router (config )#
 access-list access-list-number

permit/deny source mask
为访问控制列表设置参数
IP 标准访问列表编号 1-99
缺省的通配符掩码 0.0.0.0
no access-list access-list-number 命

令删除访问列表

反掩码  1表示任意匹配  0为精确匹配

host 精确的Ip

 通配符掩码指明所有主机
0.0.0.0 255.255.255.255 == any

example...

access-list 1 permint 172.16.0.0 0.0.

255.255
in e0
ip access-group 1 out
禁止从1 口出去

只对某一地址 禁止
access-list deny host 172.16.1.1
access-list permit any
in e0
ip access-group 1 out

 

在路由器上过滤 vty (telnet)
 五个虚拟通道 0-4
路由器的VTY 端口可以过滤数据
  在路由器上执行VTY 访问的控制

虚拟通道 的配置

access-list 12 permit 192.1.1.0

0.255.255.255
line vty o 4
access-class accss-list-number in or

out
 只允许 该网段对路由器TELNET


 


扩展访问控制列表
指定 TCP-IP 的特定协议和端口号
 ftp udp.....

 配置
1.设置访问列表参数
access-list num permit/deny protocol

cource source-wildcard  destination-

wilcard  established log
2.在端口上应用访问列表

实例

拒绝子网172.16.4.0 的数据使用路由器接

口 E0 口 FTP 到子网 172.16.3.0
允许其他数据

access-list 101 deny tcp 172.16.4.0

0.255.255.255 172.16.3.0 eq 21
access-list 101 deny tcp 172.16.4.0

0.255.255.255 172.16.3.0 eq 20
access-list permit ip any ang

in e 0
ip access-group 101 out

查看访问列表
show ip in e0
查看访问列表的语句

show protocol access-list num---ip查

看特定的访问控制列表
show acces-list num--- 查看所有协议的

访问控制列表

 

 

 

本文出自 “ㄨ娃哈哈ㄨ” 博客，谢绝转载！