访问控制列表有两种:一种是标准的访问控制列表,另一种是扩展的访问控制列表。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

扩展访问控制列表其中重要的一种是IP访问控制列表。为什么要使用访问列表?

1、管理网络中逐步增长的 IP 数据
2、当数据通过路由器时进行过滤

 

访问控制列表的应用:
1允许、拒绝数据包通过路由器
2、允许、拒绝Telnet会话的建立
3、没有设置访问列表时,所有的数据包都会在网络上传输
4基于数据包检测的特殊数据通讯应用

 

标准访问控制列表应注意以下几点:
1、检查源地址
2、通常允许、拒绝的是完整的协议
扩展访问控制列表应注意以下几点:

1、检查源地址和目的地址
2、通常允许、拒绝的是某个特定的协议

 

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100199的访问控制列表是扩展IP访问控制列表。

标准访问列表和扩展访问列表相比,标准的比扩展的简单。下面我们来做一个关于标准访问控制列表的实验。经过在路由上配置访问控制命令后,阻止PC3 ping PC2PC1,但是PC3pingPC12的网关192.168.1.1.实验的拓扑连接图如下:
Router1 E0/0 <----> VPCS V0/1

Router1 E0/1 <----> VPCS V0/2

Router1 E0/2 <----> VPCS V0/3

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

标准访问控制列表配置时候很简单,要用的设备也很简单,一台路由器,三个PC机就行,下面我们开始来做实验,首先这是在路由器中的配置

en

conf t

host r1

int e0/0

ip addr 192.168.1.2 255.255.255.0

no shut

exit

int e0/1

ip addr 192.168.2.1 255.255.255.0

no shut

exit

int e0/2

ip addr 192.168.3.1 255.255.255.0

no shut

exit

access-list 1 deny 192.168.3.0 <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.0.255----------访问控制列表号+许可的IP网段

access-list 1 permit any

int e0/0

ip access-group 1 out------------在接口上应用配置

exit

int e0/1

ip access-group 1 out

exit

配置完成后如下图所示,端口全部打开了

接下来配置PC机,配置pc机很简单,只需配置ip和网关就可以配置如下  :PC1IP192.168.1.1 网关为192.168.1.2 

                   PC2IP192.168.2.2 网关为192.168.2.1

                   PC3IP192.168.3.2 网关为192.168.3.1

Ok配置完成后我们在pc机上测试一下,最后结果是pc3ping不通pc1pc2,但是能ping通它们的网关

如下所示,配置标准访问控制列表成功达到了目的。

标准访问控制列表的配置就这样的完成了,大家是不是旧的很简单呢?呵呵…..

下面我们来做一个关于扩展访问控制列表的实验。经过在路由二上配置访问控制命令后,阻止Router1 telnet192.168.2.1 连接Router2上面,但是telnet连接其他的路由却能连通,其他的路由之间也都能通过telnet连通192.168.1.1.实验的拓扑连接图如下:
Router1 S0/0 <----> Router2 S0/0
Router2 S0/1 <----> Router3 S0/1

一、下面我们来配置第一个路由。第一个路由器配置很简单,全是最基本的命令配置,其具体的命令如下:

en

conf t

enable password cisco――――――定义特权模式的明文密码

host r1――――――――――――定义路由器一的名称

line vty 0 4-------------------------------开启虚拟终端Telnet服务

pass cisco--------------------------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)

login--------------------------------------登陆

int s0/0―――――――――――--进入Router1int s0/0端口

ip addr 192.168.1.1 255.255.255.0-----定义路由器一的IP地址

no shut-----------------------------关闭端口

exit----------------退出

router ospf 100-----------------------配置路由协议以及管理距离

network 192.168.1.1 0.0.0.0 area 0----------宣告192.168.1.1 IP地址 反码为0.0.0.0 ospf区域为骨干区域area0
exit

二、接着我们来配置路由器二。我们要在路由器二上设置访问列表的参数来拒绝192.168.1.1 telnet 连接到192.168.2.1。具体的配置如下:

en

conf t

enable password cisco――――定义特权模式的明文密码

host r2――――――――――定义路由器二的名称

line vty 0 4------------------------开启虚拟终端Telnet服务

password cisco-----------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)

login------------------------------登陆

int s0/0―――――――――――-进入Router1int s0/0端口

ip addr 192.168.1.2 255.255.255.0-----连接路由器一的IP地址

clock rate 64000--------------配置时钟频率

no shut

exit

int s0/1----------------进入Router2int s0/1端口

ip addr 192.168.2.1 255.255.255.0-----定义路由器二的IP地址

no shut

exit

router ospf 100-----------------------配置路由协议以及管理距离

network 192.168.1.2 0.0.0.0 area 0

network 192.168.2.1 0.0.0.0 area 0

exit

access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.1 0.0.0.0 eq 23---------------拒绝子网192.168.1.1使用路由器s0口与子网192.168.2.1  telnet会话

access-list 100 permit ip any any--------------允许其它数据

int s0/0

ip access-group 100 in---------------------------在端口上应用访问列表

-exit

三、路由器三上的配置命令。和第一个路由器的配置几乎一样,全是最基本的命令配置,在配置时候只须改一下IP地址和端口号即可。其具体的命令如下:

en

conf t

host r3

enable password cisco――――――定义特权模式的明文密码

line vty 0 4----------------------------开启虚拟终端Telnet服务

password cisco-------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)

login----------------------登陆

int s0/1-------------------------------进入路由器三的int s0/1端口

ip addr 192.168.2.2 255.255.255.0--------定义路由器三的IP地址

clock rate 64000------------------------配置时钟频率

no shut--------------------关闭端口

exit----------------退出

router ospf 100--------------------定义路由器的协议类型与管理距离

network 192.168.2.2 0.0.0.0 area 0

exit

四、路由器都配置完成后,我们接下来我们在路由器上测试一下。如下图我们在路由一上进行的测试,测试成功了,路由器一Telnet连接不上192.168.2.1,但是却能Telnet连接到192.168.1.2,和 192.168.2.2,输入特权密码后即可进入理由器中进行配置

我们在Router2中可以Telnet连接到192.168.1.1192.168.2.2,输入特权密码后即可进入路由一或路由三中进行配置了。

如下图所示在Router3中也Telnet连接到了192.168.1.1192.168.2.1输入密码进入路由后可对路由进行配置

 

附加:我们在做访问列表的路由器上输入“show access-list”来查看一下路由器上配置的所有访问列表。
show access-list:显示路由器上配置的所有访问列表

 

我们在Router2中输入命令后,看到了配置的访问列表的所有信息。

总结:
标准访问列表和扩展访问列表相较,标准的只能针对IP地址做限制 扩展的可以对协议对端口做限制。具体的格式如下:
1、扩展访问列表的格式:access-list ACL [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口号]

2、标准访问列表的格式的具体格式如下:access-list ACL permit|deny host ip地址

 

标准访问列表是基于源地址,允许和拒绝完整的TCP/IP协议;编号范围 1-991300-1999
扩展访问列表是基于源地址和目标地址,指定TCP/IP的特定协议和端口;编号范围 100-1992000-2699
本篇文章到这里就算结束了!文章看上去有些杂乱,希望各位不要见怪啊!我也尽了自己最大努力,如有什么不明之处,还请各位高手多多指教。本人感激不尽………如需帮助,QQ联系 本人:458180854