扩展访问控制列表配置

sarexpine

已于 2023-12-27 16:55:44 修改

阅读量1.5k

点赞数 3

分类专栏：网络路由实验文章标签：网络 tcp/ip 服务器运维网络协议

于 2022-12-11 00:53:12 首次发布

本文链接：https://blog.csdn.net/qq_52357217/article/details/128271197

版权

网络路由实验专栏收录该内容

13 篇文章 4 订阅

订阅专栏

扩展访问控制列表配置

1. 扩展访问控制列表概述

1.1 标准和扩展访问控制列表的作用

标准	扩展
基于源地址	基于源地址和目标地址
允许和拒绝完整的 TCP/IP 协议	指定 TCP/IP 的特定协议和端口号
编号范围 1~99	编号范围 100~199

1.2 扩展访问控制列表的语法

基本语法：

access-list 访问控制列表号 {deny/permit} 协议类型 源网络地址 [通配符掩码(反掩码)]
目的网络地址 [通配符掩码] [运算符 端口号]

协议类型包括 IP、TCP、UDP、ICMP、OSPF等
运算符有 lt、gt、eq、neq，分别表示 小于、大于、等于、不等于

常用的协议端口号

协议	端口号
Telnet	23
FTP	20/21
SMTP	25
POP3	110
DNS	53
Http	80
TFTP	69

2. 配置扩展访问控制列表

本次实验的拓扑结构如下所示

路由器的配置

Router0:
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2

Router1:
Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1

测试各主机之间的连通信，可互相通信

2.1 创建扩展访问控制列表

目前所有主机互通，现要求禁止主机1和主机2访问Web服务器，但可以ping和其他服务访问服务器

注意：设置扩展访问控制列表的路由器应尽可能靠近数据包所送达的目的主机端，这样可以直接对数据包进行过滤

因此，本次实验使用Router1作为扩展访问控制列表的过滤器

Router(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www
解析：扩展访问控制列表 100 拒绝 TCP连接 来自172.16.1.0网段的主机 访问176.16.4.0网段的主机 的www服务
注意：传输层使用的TCP协议，所以拒绝的是TCP连接

Router(config)#access-list 100 deny icmp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255
解析：扩展访问控制列表 100 拒绝 ICMP连接 来自172.16.2.0网段的主机 访问176.16.4.0网段的主机
注意：ping操作使用的是ICMP协议，所以拒绝的是ICMP

Router(config)#access-list 100 permit ip any any
除此之外允许其他任何操作

Router(config-if)#ip access-group 100 out		//应用在出方向口
Router#show ip access-lists 
Extended IP access list 100
    10 deny tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq www
    20 deny icmp 172.16.2.0 0.0.0.255 172.16.4.0 0.0.0.255
    30 permit ip any any