主要内容:访问控制列表设置
实验使用 Packet Tracer
访问控制列表基本概念
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表
指令列表用来指明经过路由器的数据包是接收还是拒绝,起到了数据包的过滤功能
访问控制列表的分类
标准访问控制列表
限制检查数据包的源地址
允许或拒绝的是完整的(全部的)协议
扩展访问控制列表
限制检查数据包的源地址和目的地址
允许或拒绝的是某个特定的协议
访问控制列表的方向
进方向:在数据包进入路由器之前进行检查,检查通过才能进行路由和转发;即先处理再路由
出方向:在数据包将要转发时进行检查,检查通过才进行转发;即先路由再处理
访问控制列表的工作流程
1.数据包到达路由器的端口后与访问控制列表的第一行设置的地址进行匹配
2.若匹配成功,根据列表限制处理该数据包
3.若匹配不成功,继续与下一行设置的地址进行匹配
以此循环进行
访问控制列表工作流程图:
访问控制列表的特点
访问控制列表的内容 即列表项的顺序 决定了控制顺序
访问控制列表只能过滤经过路由器的数据包,无法过滤由路由器产生的数据包
无法删除列表的某一行,要想删除必须删除整个列表重新创建(命名列表暂不涉及)
隐含一条拒绝所有的语句,每个数据包一定能够找到一条匹配的语句
每个方向、每个接口、每个协议只能对应一条访问列表
踩坑:同一接口同一方向的不同协议写在一条访问列表里(理解为优先级 方向=接口>协议)
访问控制列表IOS指令
访问控制列表的配置
通配符掩码
用点分十进制表示(可以理解为子网掩码的补码)
二进制0表示 检查 相应的地址位是否匹配
二进制1表示 忽略 相应的地址位是否匹配
八位全0 即0 表示每一位都要匹配(精确匹配)
八位全1 即255 表示地址位可以为任意值
配置基本要求
(与访问控制列表的特点相匹配)
先创建访问控制列表再把访问控制列表绑定到路由器接口
较为严格的限制条件放在访问列表所有语句的最上面
每个方向、每个接口、每个协议只能对应一条访问列表
访问控制列表中 不能只有deny语句 或 至少有一条允许语句,否则所有的数据包都将被拒绝
标准访问控制列表的配置
通常在没有指定目的地址和没有指定特定协议时使用
指令
(config)# access-list number {permit | deny} source 访问控制列表的设置
(config-if)# ip access-group {number} {in | out} 访问控制列表绑定到接口
number 表示访问控制列表的编号 从1-99中选择
permit | deny 表示控制是接收还是拒绝
source 表示目的地址的IP和通配符掩码 any表示所有
in | out 表示时进方向检查还是出方向检查
特殊 控制虚拟通道访问
虚拟通道 VTY(Virtual Teletype Terminal)
作用:通过 Telnet 远程登录并管理路由或交换
指令
(config)# line vty {vty# | vty-range} 选定虚拟通道范围
(config-line)# access-class number {in | out} 访问控制列表绑定到通道
扩展访问控制列表的配置
指令
(config)# access-list number {permit | deny} protocol source destination {operation port} 设置
(config-if)# ip access-group access-list-number { in | out } 访问控制列表绑定到接口
number 从100-199中选择;
protocol 设置检查限制的协议类型:
1.ip 表示检查限制所有协议(类似于标准访问控制列表)
2.tcp,udp等 表示检查限制TCP、UDP等特定的协议
source 表示源地址的IP和通配符掩码;
destination 表示目的地址的IP和通配符掩码;
operation 设置服务的端口号 eq 等于; gt 大于; lt 小于;
port 服务的端口号 可以直接用 端口号 也可以用 服务类型
访问控制列表的查、删
查询 :show access-lists
删除 :no access-list number
修改:删除整个列表重新创建
645
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
