四、访问控制列表的种类 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1)      标准访问控制列表:只对源 IP 地址进行过滤。

2)      扩展访问控制列表:对源 IP 地址、目的 IP 地址、源端口和目的端口

   标准的访问控制列表根据数据包的源 IP 地址来接受和拒绝数据包,标准访问控制列表的列表号上 1-99

   标准访问控制列表的配置:

(1) access-list show access-list: 配置和显示访问列表

router config #access-list access-list-number {permit|deny} source [source-wildcard] [log]

router(config)#no access-list access-list-number

source :指数据包的源地址,可以是主机地址、也可以是网络地址。

Source-wildcard :用来跟源地址一起来决定哪些位需要进行匹配操作。

Log (可选项):生成相应的日志信息。

(2) access-group :访问控制列表与入出口联系。

Router config-if #ip access-group access-list-number {in|out}

(3) 标准访问控制列表的配置:

 

1、          允许特定源的通信量通过

1)      创建允许 172.16.0.0 的流量通过 ACL

Router config #access-list 1 permit 172.16.0.0 0.0.255.255

Router config #ip access-list 1 deny any

2)      应用到 E0 E1 的出口方向

Router config #interface F0/0

Router config-if #access-group 1 out

Router config #interface F0/1

Router config-if #ip access-group 1 out

2、          拒绝特定主机的通信流量

1)      创建拒绝来自 172.16.1.13 的流量的 ACL

Router config #access-list deny host 172.16.4.13

Router config #access-list permit 0.0.0.0 255.255.255.255

2)      应用到接口的出口方向上

Router config #interface F0/0

Router config-if #access-group 1 out

Router config #interface F0.1

Router config #ip access-group 1 out

3、          拒绝特定子网的通信流量

1)      创建拒绝子网 172.13.4.0 的流量的 ACL

Router config #access-list 1 deny 172.16.4.0 0.0.0.255

Router config #access-list 1 permit any

2)      应用到接口的 E0 的出向口

Router config #interface F0/0

Router config-if #ipaccess-group 1 out

六、扩展的访问控制列表

扩展的访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。

扩展访问控制列表的流程图:

 
 
常有的端口号

端口号

关键字

描述

TCP/UDP

20

FTR-DATA

文件传输协议(数据)

TCP

21

FTP

文件传输协议(控制)

TCP

23

TELNET

终端的链接

TCP

25

SMTP

间的的邮件传输协议

TCP

42

NAMESERVER

主机名字服务器

UDP

53

DOMAIN

域名服务 DNS

TCP/UDP

69

TFTP

普通文件传输协议

UDP

80

WWW

万维网

TCP

七、扩展访问控制列表的应用和配置

1 、扩展访问控制列表的配置

Router config #access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard] [oprator operan] [established] [log]

Access-list-number: 访问控制列表号是 ;100-199

Protocol: 用来指定的协议类型有: ip tcp udp icmp…

source  destination 源和目的地址

source-wildcard destination-wildcard 反码

oprator operan lt (小于) gt (大于) eq (等于) neq (不等于)和一个端口号。

2 、访问控制列表的应用

A.     拒绝所有从 172.16.4.0 172.16.3.0 ftp 通信量通过 E0

1)      创建拒绝来自 172.16.4.0 去往 172.16.3.0 ftp ACL

Router config #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

Router config #access-list 101 permit ip any any

2)      应用到接口 E0 的出口方向上

Router config #interface F0/0

Router config-if #ipaccess-group 101 out

 

B.     拒绝来自指定子网的 telnet 的通信流量

建立拒绝来自指定 72.16.4.3 去往 172.16.3.0 telnet ACL

Router config #access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23

Router config #access-list 101 permit ip any any

应用到 E0 的出方向口

Router config #interface F0/0

Router config-if #ip access-group 101 out