扩展访问控制列表配置
1. 扩展访问控制列表概述
1.1 标准和扩展访问控制列表的作用
标准 | 扩展 |
---|---|
基于源地址 | 基于源地址和目标地址 |
允许和拒绝完整的 TCP/IP 协议 | 指定 TCP/IP 的特定协议和端口号 |
编号范围 1~99 | 编号范围 100~199 |
1.2 扩展访问控制列表的语法
基本语法:
access-list 访问控制列表号 {deny/permit} 协议类型 源网络地址 [通配符掩码(反掩码)]
目的网络地址 [通配符掩码] [运算符 端口号]
- 协议类型包括 IP、TCP、UDP、ICMP、OSPF等
- 运算符有
lt、gt、eq、neq
,分别表示小于、大于、等于、不等于
常用的协议端口号
协议 | 端口号 |
---|---|
Telnet | 23 |
FTP | 20/21 |
SMTP | 25 |
POP3 | 110 |
DNS | 53 |
Http | 80 |
TFTP | 69 |
2. 配置扩展访问控制列表
本次实验的拓扑结构如下所示
![image-20221117193318900](https://i-blog.csdnimg.cn/blog_migrate/44d9add700a0b0a8b41b7af2a4a871c8.png)
路由器的配置
Router0:
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router1:
Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
测试各主机之间的连通信,可互相通信
2.1 创建扩展访问控制列表
目前所有主机互通,现要求禁止主机1和主机2访问Web服务器,但可以ping和其他服务访问服务器
注意:设置扩展访问控制列表的路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤
因此,本次实验使用Router1作为扩展访问控制列表的过滤器
Router(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www
解析:扩展访问控制列表 100 拒绝 TCP连接 来自172.16.1.0网段的主机 访问176.16.4.0网段的主机 的www服务
注意:传输层使用的TCP协议,所以拒绝的是TCP连接
Router(config)#access-list 100 deny icmp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
解析:扩展访问控制列表 100 拒绝 ICMP连接 来自172.16.2.0网段的主机 访问176.16.4.0网段的主机
注意:ping操作使用的是ICMP协议,所以拒绝的是ICMP
Router(config)#access-list 100 permit ip any any
除此之外允许其他任何操作
Router(config-if)#ip access-group 100 out //应用在出方向口
Router#show ip access-lists
Extended IP access list 100
10 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www
20 deny icmp 172.16.2.0 0.0.0.255 172.16.4.0 0.0.0.255
30 permit ip any any