访问控制列表
一、topology
(1)路由器R1的接口配置
Router>en
Router#conf t
Router (config)#hostname RouterR1
RouterA (config)#interface fastethernet 0/0 (int f0/0)
RouterA (config-if)#ip address 1.1.1.1 255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config)#interface fastethernet 0/1
RouterA (config-if)#ip address 192.168.1.1 255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
(2)路由器R2的接口配置
Router>en
Router#conf t
Router (config)#hostname RouterR2
RouterA (config)#interface fastethernet 0/0 (int f0/0)
RouterA (config-if)#ip address 2.2.2.1 255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config)#interface fastethernet 0/1
RouterA (config-if)#ip address 192.168.1.2 255.255.255.0
RouterA (config-if)#no shutdown
RouterA (config-if)#Exit
(3)静态路由协议
R1:
Ip route 2.2.2.0 255.255.255.0 f0/1
or:Ip route 2.2.2.0 255.255.255.0 192.168.1.2
R2
Ip route 1.1.1.0 255.255.255.0 f0/1
or:Ip route 1.1.1.0 255.255.255.0 192.168.1.1
Test
Show ip route
Ping
(4)访问控制列表
访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。
目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
在一个接口上配置访问表需要三个步骤:
(1)定义访问表;
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
标准ACL(尽量靠近目的接口配置)(1-99)
要求使1.1.1.0网络不能与2.2.2.0网络通信
R2:
Congfig t
Access-list 1 deny host 1.1.1.2
Access-list 1 permit any
Interface f0/0
Ip access-group 1 out
(列表1所定义的条件应用到本路由器 禁止从此接口出去 )
扩展ACL(100-199)
要求:pc1不能访问网2.2.2.0上的telnet服务
R1
Access-list 101 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq telnet
Access-list 101 Permit tcp any any
Interface f0/0
Ip access-group 101 in
标准访问控制列表要尽量靠近目的端,相反地,拓展访问控制列表要尽量靠近源端。
扩展访问列表的格式:access-list ACL号 [permit|deny][协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]