ACL 访问控制列表

1、ACL,配置 IP ACLs,访问列表配置指南,访问列表的编号指明了使用何种协议的访问列表 每个端口、每个方向只能对应于一条访问列表 访问列表的内容决定了数据的控制顺序 具有严格限制条件的语句应放在访问列表所有语句的最上面 在访问列表的最后有一条隐含声明：deny any每一条正确的访问列表都至少应该有一条允许语句 先创建访问列表，然后应用到端口上 访问列表不能过滤由路由器自己产生的数据,Step 1:设置访问列表测试语句的参数,Router(config)#,Step 2: 在端口上应用访问列表,Ip access-group access-list-number in | out,Rout

2、er(config-if)#,IP访问列表设置命令,IP 访问列表的标号为 1-99 和 100-199,access-list access-list-number permit | deny test conditions ,0 表示检查与之对应的地址位的值 1表示忽略与之对应的地址位的值,do not check address (ignore bits in octet),=,0,0,0,0,0,0,0,0,Octet bit position and address value for bit,ignore last 6 address bits,check all address

3、bits (match all),ignore last 4 address bits,check last 2 address bits,Examples,通配符：如何检查相应的地址位,例如 9 检查所有的地址位 可以简写为 host (host 9),Test conditions: Check all the address bits (match all),9,,(checks all bits),An IP host address, for example:,Wildcard mask:

4、,通配符掩码指明特定的主机,所有主机: 55 可以用 any 简写,Test conditions: Ignore all the address bits (match any),,55,(ignore all),Any IP address,Wildcard mask:,通配符掩码指明所有主机,Check for IP subnets /24 to /24,Network .host ,Wildcard mask: 0 0 0 0 1 1 1

5、1 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 =17 0 0 0 1 0 0 1 0 =18 : : 0 0 0 1 1 1 1 1 =31,Address and wildcard mask: 55,通配符掩码和IP子网的对应,标准IP访问列表的配置,access-list access-list-number permit|deny source mask,Router(config)#,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 = “no access-list ac

6、cess-list-number” 命令删除访问列表,access-list access-list-number permit|deny source Wildcard,Router(config)#,在端口上应用访问列表 指明是进方向还是出方向 缺省 = 出方向 “no ip access-group access-list-number” 命令在端口上删除访问列表,Router(config-if)#,ip access-group access-list- number in | out ,为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 =

7、“no access-list access-list-number” 命令删除访问列表,标准IP访问列表的配置,,,3,E0,S0,E1,Non- ,标准访问列表举例 1,access-list 1 permit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55),Permit my network only,access-list 1 p

8、ermit 55 (implicit deny all - not visible in the list) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out,,,3,E0,S0,E1,Non- ,标准访问列表举例 1,Deny a specific host,标准访

9、问列表举例 2,,,3,E0,S0,E1,Non- ,access-list 1 deny 3 ,标准访问列表举例 2,,,3,E0,S0,E1,Non- ,Deny a specific host,access-list 1 deny 3 access-list 1 permit 55 (implicit deny all)

10、 (access-list 1 deny 55),access-list 1 deny 3 access-list 1 permit 55 (implicit deny all) (access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准访问列表举例 2,,,3,E0,S0,E1,Non- 172

11、.16.0.0,Deny a specific host,Deny a specific subnet,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,access-list 1 deny 55 access-list 1 permit any (implicit deny all)(access-list 1 deny 55),access-list 1 deny 55 access-li

12、st 1 permit any (implicit deny all)(access-list 1 deny 55) interface ethernet 0 ip access-group 1 out,标准访问列表举例 3,,,3,E0,S0,E1,Non- ,Deny a specific subnet,在路由器上过滤vty,五个虚拟通道 (0 到 4) 路由器的vty端口可以过滤数据 在路由器上执行vty访问的控制,0,1,2,3,4,Virtual ports (v

13、ty 0 through 4),Physical port e0 (Telnet),Console port (direct connect),console,e0,如何控制vty访问,0,1,2,3,4,Virtual ports (vty 0 through 4),Physical port (e0) (Telnet),使用标准访问列表语句 用 access-class 命令应用访问列表 在所有vty通道上设置相同的限制条件,Router#,e0,虚拟通道的配置,指明vty通道的范围,在访问列表里指明方向,access-class access-list-number in|out,lin

14、e vty#vty# | vty-range,Router(config)#,Router(config-line)#,虚拟通道访问举例,只允许网络 内的主机连接路由器的 vty 通道,access-list 12 permit 55 ! line vty 0 4 access-class 12 in,Controlling Inbound Access,标准访问列表和扩展访问列表比较,标准,扩展,基于源地址,基于源地址和目标地址,允许和拒绝完整的 TCP/IP协议,指定TCP/IP的特定协议 和端口号,编号范围 100 到 199.

15、,编号范围 1 到 99,扩展 IP 访问列表的配置,Router(config)#,设置访问列表的参数,access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,Router(config-if)# ip access-group access-list-number in | out ,扩展 IP 访问列表的配置,在端口上应用访问列表,设置访问

16、列表的参数,Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator port destination destination-wildcard operator port established log,access-list 101 deny tcp 55 55 eq 21 access-list 101 deny tcp 55 172.1

17、6.3.0 55 eq 20 access-list 101 permit ip any any (implicit deny all) (access-list 101 deny ip 55 55) interface ethernet 0 ip access-group 101 out,拒绝子网 的数据使用路由器e0口ftp到子网 允许其它数据,扩展访问列表应用举例 1,,,3,E0,S0,E1

18、,Non- ,access-list 101 deny tcp 55 any eq 23 access-list 101 permit ip any any (implicit deny all) interface ethernet 0 ip access-group 101 out,拒绝子网 内的主机使用路由器的 E0 端口建立Telnet会话 允许其它数据,扩展访问列表应用举例 2,,,3,E0,S0,E1,Non- ,将扩展访问列

19、表置于离源设备较近的位置 将标准访问列表置于离目的设备较近的位置,E0,E0,E1,S0,To0,S1,S0,S1,E0,E0,B,A,C,访问列表的放置原则,推荐：,D,wg_ro_a#show ip int e0 Ethernet0 is up, line protocol is up Internet address is 1/24 Broadcast address is 55 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always s