access control list(ACL) -访问列表
为什么要使用访问列表
管理网络中逐渐增长的IP数据
当数据通过路由器时进行过滤
访问列表的应用
允许,拒绝数据包通过路由器
允许,拒绝Telnet会话的建立
没有设置访问列表时,所有的数据包都会在网络上传输
访问列表的其他应用
优先级判断
按需拨号
路由表过滤
基于数据包检测的特殊数据通讯应用
什么是访问列表-标准
-标准(一般基于IP,对收到数据包的源地址进行检查,如果发现源地址匹配访问控制列表,那么进行转发,如果不匹配,那么数据包将被进行丢弃)
检查源地址(IP地址)
通常允许,拒绝的是完整的协议
-扩展(基于协议进行匹配,根据端口号也可以进行匹配)
检查源地址和目标地址
通常允许,拒绝的是某个特定的协议
-进方向和出方向(相对的)
访问列表的测试:允许和拒绝
收到数据包->判断路由表有没有这个条目->没有,直接丢弃
->有查看相关联的接口有没有设置访问控制列表
->没有,直接转发出去
->有,对访问控制列表的陈述进行匹配->不符合,直接丢弃,并发送给源,条件不匹配
->符合,允许转发出去
访问列表配置指南
访问列表的编号指明了使用何种协议的访问列表
每个端口,每个方向,每条协议只能对应一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤路由器自己产生的数据
访问列表设置命令
1.设置访问列表测试语句的参数
access-list access-list-number {permit|deny} {test conditions}
2.在端口上应用访问列表
{protocol} access-group access-list-number {in|out}
IP访问列表的标号为1~99和100~199
如何识别访问列表号
访问列表类型 编号范围
IP standard 1-99
Extended 100-199
标准访问列表(1 to 99)检查IP数据包的源地址
扩展访问列表(100 to 199)检查源地址和目的地址,具体的TCP/IP协议和目的端口
访问列表类型 编号范围
Standard 1-99 1300-1999
Named Name(Cisco IOS 11.2 and later)
Extend 100-199 2000-2699
Named Name(Cisco IOS 11.2 and later)
标准访问列表检查IP数据包源地址
扩展访问列表检查源地址和目的地址,具体的TCP/IP协议和目的端口
其他访问列表编号范围表示不同协议的访问列表
标准IP访问列表的配置
access-list access-list-number {permit|deny} source [mask]
为访问列表设置参数
IP标准访问列表编号1到99
缺省地通配符掩码=0.0.0.0
"no access-list access-list-number"命令删除访问列表
ip access-group access-list-number {in|out}
在端口上应用访问列表
指明是进方向还是出方向
缺省=出方向
"no ip access-group access-list-number"命令在端口上删除访问列表
通配符掩码指明特定的主机
Test conditions:Check all the address bits(match all)
例如 172.30.16.29 0.0.0.0 检查所有的地址位
所有主机:0.0.0.0 255.255.255.255
可以用any简写
可以简写为host(host 172.30.16.29)
用访问控制列表控制vry访问(一般为telnet会话)
在路由器上过滤vty
五个虚拟通道(0~4)
路由器的vty端口可以过滤数据
在路由器上执行vty访问的控制
如何控制vty访问
使用标准访问列表语句
用access-class命令应用访问列表
在所有vty通道上设置相同的限制条件
虚拟通道的命令
指明vty通道的范围
line vty#{vty#vty-range}
在访问列表里面指明方向
access-class access-list-number {in|out}
虚拟通道访问举例
access-list 12 permit 192.89.55.0 0.0.0.255
!
line vty 0 4
access-class 12 in
只允许网络192.89.55.0内的主机连接路由器的vty通道
标准访问列表和扩展访问列表比较
标准 扩展
基于源地址 基于源地址和目标地址
允许和拒绝完整的TCP/IP协议 指定TCP/IP的特定协议和端口号
编号范围1-99和1300-1999 编号范围100-199和2000-2699
扩展IP访问列表的配置
设置访问列表的参数
access-list access-list-number {permit|deny} protocol source
source-wildcard [operator port] destination destination-wildcard
[operatoe port] [established] [log]
在端口上应用访问列表
ip access-group access-list-number {in|out}
扩展访问列表应用举例1
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0
允许其他数据
扩展访问列表应用举例2
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0内的主机使用路由器的E0端口建立telnet会话
允许其他数据
查看访问列表的语句
查看特定协议访问控制列表
show {protocol} access-list {access-list number}
查看所有协议访问控制列表
show access-lists {access-list number}
为什么要使用访问列表
管理网络中逐渐增长的IP数据
当数据通过路由器时进行过滤
访问列表的应用
允许,拒绝数据包通过路由器
允许,拒绝Telnet会话的建立
没有设置访问列表时,所有的数据包都会在网络上传输
访问列表的其他应用
优先级判断
按需拨号
路由表过滤
基于数据包检测的特殊数据通讯应用
什么是访问列表-标准
-标准(一般基于IP,对收到数据包的源地址进行检查,如果发现源地址匹配访问控制列表,那么进行转发,如果不匹配,那么数据包将被进行丢弃)
检查源地址(IP地址)
通常允许,拒绝的是完整的协议
-扩展(基于协议进行匹配,根据端口号也可以进行匹配)
检查源地址和目标地址
通常允许,拒绝的是某个特定的协议
-进方向和出方向(相对的)
访问列表的测试:允许和拒绝
收到数据包->判断路由表有没有这个条目->没有,直接丢弃
->有查看相关联的接口有没有设置访问控制列表
->没有,直接转发出去
->有,对访问控制列表的陈述进行匹配->不符合,直接丢弃,并发送给源,条件不匹配
->符合,允许转发出去
访问列表配置指南
访问列表的编号指明了使用何种协议的访问列表
每个端口,每个方向,每条协议只能对应一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤路由器自己产生的数据
访问列表设置命令
1.设置访问列表测试语句的参数
access-list access-list-number {permit|deny} {test conditions}
2.在端口上应用访问列表
{protocol} access-group access-list-number {in|out}
IP访问列表的标号为1~99和100~199
如何识别访问列表号
访问列表类型 编号范围
IP standard 1-99
Extended 100-199
标准访问列表(1 to 99)检查IP数据包的源地址
扩展访问列表(100 to 199)检查源地址和目的地址,具体的TCP/IP协议和目的端口
访问列表类型 编号范围
Standard 1-99 1300-1999
Named Name(Cisco IOS 11.2 and later)
Extend 100-199 2000-2699
Named Name(Cisco IOS 11.2 and later)
标准访问列表检查IP数据包源地址
扩展访问列表检查源地址和目的地址,具体的TCP/IP协议和目的端口
其他访问列表编号范围表示不同协议的访问列表
标准IP访问列表的配置
access-list access-list-number {permit|deny} source [mask]
为访问列表设置参数
IP标准访问列表编号1到99
缺省地通配符掩码=0.0.0.0
"no access-list access-list-number"命令删除访问列表
ip access-group access-list-number {in|out}
在端口上应用访问列表
指明是进方向还是出方向
缺省=出方向
"no ip access-group access-list-number"命令在端口上删除访问列表
通配符掩码指明特定的主机
Test conditions:Check all the address bits(match all)
例如 172.30.16.29 0.0.0.0 检查所有的地址位
所有主机:0.0.0.0 255.255.255.255
可以用any简写
可以简写为host(host 172.30.16.29)
用访问控制列表控制vry访问(一般为telnet会话)
在路由器上过滤vty
五个虚拟通道(0~4)
路由器的vty端口可以过滤数据
在路由器上执行vty访问的控制
如何控制vty访问
使用标准访问列表语句
用access-class命令应用访问列表
在所有vty通道上设置相同的限制条件
虚拟通道的命令
指明vty通道的范围
line vty#{vty#vty-range}
在访问列表里面指明方向
access-class access-list-number {in|out}
虚拟通道访问举例
access-list 12 permit 192.89.55.0 0.0.0.255
!
line vty 0 4
access-class 12 in
只允许网络192.89.55.0内的主机连接路由器的vty通道
标准访问列表和扩展访问列表比较
标准 扩展
基于源地址 基于源地址和目标地址
允许和拒绝完整的TCP/IP协议 指定TCP/IP的特定协议和端口号
编号范围1-99和1300-1999 编号范围100-199和2000-2699
扩展IP访问列表的配置
设置访问列表的参数
access-list access-list-number {permit|deny} protocol source
source-wildcard [operator port] destination destination-wildcard
[operatoe port] [established] [log]
在端口上应用访问列表
ip access-group access-list-number {in|out}
扩展访问列表应用举例1
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0
允许其他数据
扩展访问列表应用举例2
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0内的主机使用路由器的E0端口建立telnet会话
允许其他数据
查看访问列表的语句
查看特定协议访问控制列表
show {protocol} access-list {access-list number}
查看所有协议访问控制列表
show access-lists {access-list number}
2635
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
