四、访问控制列表的种类
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
1)
标准访问控制列表:只对源
IP
地址进行过滤。
2)
扩展访问控制列表:对源
IP
地址、目的
IP
地址、源端口和目的端口
标准的访问控制列表根据数据包的源
IP
地址来接受和拒绝数据包,标准访问控制列表的列表号上
1-99
标准访问控制列表的配置:
(1)
access-list
和
show access-list:
配置和显示访问列表
router
(
config
)
#access-list access-list-number {permit|deny} source [source-wildcard] [log]
router(config)#no access-list access-list-number
source
:指数据包的源地址,可以是主机地址、也可以是网络地址。
Source-wildcard
:用来跟源地址一起来决定哪些位需要进行匹配操作。
Log
(可选项):生成相应的日志信息。
(2)
access-group
:访问控制列表与入出口联系。
Router
(
config-if
)
#ip access-group access-list-number {in|out}
(3)
标准访问控制列表的配置:
1、
允许特定源的通信量通过
1)
创建允许
172.16.0.0
的流量通过
ACL
Router
(
config
)
#access-list 1 permit 172.16.0.0 0.0.255.255
Router
(
config
)
#ip access-list 1 deny any
2)
应用到
E0
和
E1
的出口方向
Router
(
config
)
#interface F0/0
Router
(
config-if
)
#access-group 1 out
Router
(
config
)
#interface F0/1
Router
(
config-if
)
#ip access-group 1 out
2、
拒绝特定主机的通信流量
1)
创建拒绝来自
172.16.1.13
的流量的
ACL
Router
(
config
)
#access-list deny host 172.16.4.13
Router
(
config
)
#access-list permit 0.0.0.0 255.255.255.255
2)
应用到接口的出口方向上
Router
(
config
)
#interface F0/0
Router
(
config-if
)
#access-group 1 out
Router
(
config
)
#interface F0.1
Router
(
config
)
#ip access-group 1 out
3、
拒绝特定子网的通信流量
1)
创建拒绝子网
172.13.4.0
的流量的
ACL
Router
(
config
)
#access-list 1 deny 172.16.4.0 0.0.0.255
Router
(
config
)
#access-list 1 permit any
2)
应用到接口的
E0
的出向口
Router
(
config
)
#interface F0/0
Router
(
config-if
)
#ipaccess-group 1 out
六、扩展的访问控制列表
扩展的访问控制列表通过启用基于源和目的地址、传输层协议和应用端口号的过滤来提供更高程度的控制。
扩展访问控制列表的流程图:
常有的端口号
| |||
端口号
|
关键字
|
描述
|
TCP/UDP
|
20
|
FTR-DATA
|
文件传输协议(数据)
|
TCP
|
21
|
FTP
|
文件传输协议(控制)
|
TCP
|
23
|
TELNET
|
终端的链接
|
TCP
|
25
|
SMTP
|
间的的邮件传输协议
|
TCP
|
42
|
NAMESERVER
|
主机名字服务器
|
UDP
|
53
|
DOMAIN
|
域名服务
DNS
|
TCP/UDP
|
69
|
TFTP
|
普通文件传输协议
|
UDP
|
80
|
WWW
|
万维网
|
TCP
|
七、扩展访问控制列表的应用和配置
1
、扩展访问控制列表的配置
Router
(
config
)
#access-list access-list-number {permit|deny} protocol [source source-wildcard destination destination-wildcard] [oprator operan] [established] [log]
Access-list-number:
访问控制列表号是
;100-199
Protocol:
用来指定的协议类型有:
ip tcp udp icmp…
source destination
源和目的地址
source-wildcard destination-wildcard
反码
oprator operan
:
lt
(小于)
gt
(大于)
eq
(等于)
neq
(不等于)和一个端口号。
2
、访问控制列表的应用
A.
拒绝所有从
172.16.4.0
到
172.16.3.0
的
ftp
通信量通过
E0
1)
创建拒绝来自
172.16.4.0
去往
172.16.3.0
的
ftp
的
ACL
Router
(
config
)
#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router
(
config
)
#access-list 101 permit ip any any
2)
应用到接口
E0
的出口方向上
Router
(
config
)
#interface F0/0
Router
(
config-if
)
#ipaccess-group 101 out
B.
拒绝来自指定子网的
telnet
的通信流量
建立拒绝来自指定
72.16.4.3
去往
172.16.3.0
的
telnet
的
ACL
Router
(
config
)
#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router
(
config
)
#access-list 101 permit ip any any
应用到
E0
的出方向口
Router
(
config
)
#interface F0/0
Router
(
config-if
)
#ip access-group 101 out
转载于:https://blog.51cto.com/lorna8023/207867