访问控制列表(ACL)
UDP和TCP端口号范围
端口号范围 | 端口类型 |
---|---|
0~1023 | 周知端口 |
1024~49151 | 注册端口 |
49152~65535 | 私有或动态端口 |
一些周知端口
端口号 | 协议 | 应用 | 缩写 |
---|---|---|---|
20 | TCP | 文件传输协议(数据) | FTP |
21 | TCP | 文件传输协议(控制) | FTP |
22 | TCP | 安全外壳 | SSH |
23 | TCP | Telnet | - |
25 | TCP | 简单邮件传输协议 | SMTP |
53 | UDP、TCP | 域名服务 | DNS |
67/68 | UDP | 动态主机配置协议 | DHCP |
69 | UDP | 简单文件传输协议 | TFTP |
80 | TCP | 超文本传输协议 | HTTP |
110 | TCP | 邮局协议3版 | POP3 |
143 | TCP | Internet消息访问协议 | IMAP |
161 | UDP | 简单网络管理协议 | SNMP |
443 | TCP | 安全超文本传输协议 | HTTPS |
ACL数据包过滤
数据包过滤是路由器通过分析传入和传出的数据包,然后根据给定条件转发或丢弃分析后的数据包,来控制对网络的访问。数据包过滤可以在3或4层进行。标准ACL仅在3层执行过滤。扩展ACL可在3和4层执行过滤。
标准ACL
可以允许或拒绝仅来自源ipv4地址的流量,它不检查数据包的目的地址及其端口。
Router(config)#access-list 10 permit 192.168.30.0 0.0.255.255
扩展ACL
- 协议类型
- 源IPv4地址
- 目的IPv4地址
- 源TCP或UDP端口
- 目的TCP或UDP端口
- 用于进行精确控制的可选协议类型信息
Router(config)#access-list 102 permit tcp 192.168.30.0 0.0.0.255 any eq 80
编号ACL和命令ACL
1~99
和1300~1999
:标准IP ACL100~199
和2000~2699
:扩展IP ACL
要配置命名ACL可指派一个名称来标识ACL
ACL的放置位子:
- 扩展ACL:将扩展ACL放置在尽可能靠近需要过滤的流量源的位置上。
- 标准ACL:由于标准ACL不指定目的地址,所以其位置应该尽可能靠近目的地。
配置一个标准ACL
R1(config)#access-list 10 permit 192.168.10.0 0.0.0.255
// access-list x permit/deny source
//指定一个具体主机
R1(config)#access-list 10 permit host 192.168.10.1
R1(config)#show access-lists
//no access-lists x:删除
//可以添加一个注释:access-list x remark permit xxxxxx
//应用到接口:
R1(config-if)#ip access-group x out/in
命名标准ACL
R1(config)#ip access-list standard xxx
R1(config-std-nacl)#deny host 192.168.10.1
R1(config-std-nacl)#permit any
//思科ACL默认禁止所有
//应用
R1(config-if)#ip access-group xx out/in
配置一个扩展ACL
//在标准的acl基础上添加一些规则
R1(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
// 扩展ACL的标号 允许/禁止 服务类型 源 目的 端口
命名扩展ACL
R1(config)#access-list extended xxx
...............
ACL顺序列表:按照顺序执行。默认禁止所有
实验:ACL
要求:
1、禁止PC0 ping PC5,但是PC5可以pingPC0.允许PC2 ping PC5;
2、禁止PC0 访问 服务器WEB服务,但是可以ping通服务器;
//使用扩展ACL
//在R1上的配置应用在fa0/1
R1#show access-lists
Extended IP access list 100
10 deny icmp host 192.168.1.1 host 192.168.2.2 echo
20 permit ip host 192.168.1.2 host 192.168.2.2
30 deny tcp host 192.168.1.1 host 192.168.2.254 eq www
40 permit ip any any