Chapter10 Managing Traffic with Access Lists
Introduction to Access Lists
访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置 ACL的一些规则:
1.按顺序的比较,先比较第一行,再比较第二行..直到最后 1 行
2.从第一行起,直到找到 1个符合条件的行;符合以后,其余的行就不再继续比较下去
3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意
味着包将被丢弃.所以每个 ACL 必须至少要有 1行 permit 语句,除非你想想所有数据包丢弃
2 种主要的访问列表:
1.标准访问列表(standard access lists):只使用源 IP地址来做过滤决定
2.扩展访问列表(extended access lists):它比较源 IP 地址和目标 IP 地址,层 3 的协议字段,层 4
端口号来做过滤决定
利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到
过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从 Internet 到你企业网的数据包呢
还是想过滤从企业网传出到 Internet的数据包呢?方向分为下面 2 种:
1.inbound ACL:先处理,再路由
2.outbound ACL:先路由,再处理
一些设置 ACL 的要点:
1.每个接口,每个方向,每种协议,你只能设置 1 个ACL
2.组织好你的 ACL 的顺序,比如测试性的最好放在 ACL 的最顶部
3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access
lists)例外(稍后介绍命名访问列表)
4.默认 ACL结尾语句是 deny any,所以你要记住的是在 ACL 里至少要有 1条 permit 语句
5.记得创建了 ACL 后要把它应用在需要过滤的接口上
6.ACL 是用于过滤经过 router的数据包,它并不会过滤 router本身所产生的数据包
7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源
地址近的地方
Standard Access Lists
介绍 ACL 设置之前先介绍下通配符掩码(wildcard masking).它是由 0 和255 的4 个8 位位组
组成的.0 代表必须精确匹配,255 代表随意,比如:172.16.30.0 0.0.0.255,这个告诉 router前 3 位
的 8 位位组必须精确匹配,后 1 位 8 位位组的值可以为任意值.如果你想指定 172.16.8.0 到
172.16.15.0,则通配符掩码为 0.0.7.255(15-8=7)
配置 IP标准 ACL,在特权模式下使用 access-lists [ACL号] [permit/deny] [any/host]命令.ACL
号为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个
主机(需要跟上 IP地址)或某 1 段
我们来看 1个设置 IP标准 ACL 的实例:
如图,router有 3 个 LAN的连接 1 个 Internet 的连接.现在,销售部的用户不允许访问金融部的
用户,但是允许他们访问市场部和 Internet 连接.配置如下:
Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Router(config)#access-list 10 permit any
注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.
接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地
方,所以使用 ip access-group 命令把 ACL 10 放在 E1接口,方向为出,即 out.如下:
Router(config)#int e1
Router(config-if)#ip access-group 10 out
Controlling VTY(Telnet) Access
使用 IP标准 ACL 来控制VTY线路的访问.配置步骤如下:
1.创建个 IP标准 ACL 来允许某些主机可以 telnet
2.使用 access-class 命令来应用 ACL 到VTY线路上
实例如下:
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in
如上,进入 VTY 线路模式,应用 ACL,方向为进来,即 in.因为默认隐含的 deny any,所以上面的
例子,只允许 IP地址为 172.16.10.3 的主机 telnet 到 router上
Extended Access Lists
扩展 ACL:命令是 access-list [ACL 号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端
口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表
等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志
来看 1个配置扩展 ACL的实例:
假如要拒 telnet 和 FTP到绝位于金融部的主机 172.16.30.5,配置如下:
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Router(config)#access-list 110 permit ip any any
记住默认隐含的 deny all.应用到 E1接口,注意方向为 out,如下:
Router(config)#int e1
Router(config-if)#ip access-group 110 out
Named Access Lists
命名访问列表是创建标准和扩展访问列表的另外 1 种方法.它允许你使用命名的方法来创建
和应用标准或者扩展访问列表.使用 ip access-list命令来创建,如下:
Router(config)#ip access-list ?
extended Extended Acc
logging Control access list logging
standard Standard Access List
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name
Router(config)#ip access-list standard BlockSales Router(config-std-nacl)#?
Standard Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its default
permit Specify packets to forward
Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#^Z
Router#sh run
(略)
!
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.255
permit any
!
(略)
接下来应用到接口上,如下:
Router(config)#int 1
Router(config-if)#ip access-group BlockSales out
Router(config-if)#^Z
Router#
Monitoring Access Lists
一些验证 ACL的命令,如下:
1.show access-list:显示 router 上配置了的所有的 ACL 信息,但是不显示哪个接口应用了哪
个 ACL的信息
2.show access-list [number]:显示具体第几号 ACL信息,也不显示哪个接口应用了这个 ACL
3.show ip access-list:只显示 IP 访问列表信息
4.show ip interface:显示所有接口的信息和配置的 ACL信息
5.show ip interface [接口号]:显示具体某个接口的信息和配置的 ACL信息
6.show running-config:显示 DRAM 信息和 ACL信息,以及接口对 ACL的应用信息
Introduction to Access Lists
访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置 ACL的一些规则:
1.按顺序的比较,先比较第一行,再比较第二行..直到最后 1 行
2.从第一行起,直到找到 1个符合条件的行;符合以后,其余的行就不再继续比较下去
3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意
味着包将被丢弃.所以每个 ACL 必须至少要有 1行 permit 语句,除非你想想所有数据包丢弃
2 种主要的访问列表:
1.标准访问列表(standard access lists):只使用源 IP地址来做过滤决定
2.扩展访问列表(extended access lists):它比较源 IP 地址和目标 IP 地址,层 3 的协议字段,层 4
端口号来做过滤决定
利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到
过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从 Internet 到你企业网的数据包呢
还是想过滤从企业网传出到 Internet的数据包呢?方向分为下面 2 种:
1.inbound ACL:先处理,再路由
2.outbound ACL:先路由,再处理
一些设置 ACL 的要点:
1.每个接口,每个方向,每种协议,你只能设置 1 个ACL
2.组织好你的 ACL 的顺序,比如测试性的最好放在 ACL 的最顶部
3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access
lists)例外(稍后介绍命名访问列表)
4.默认 ACL结尾语句是 deny any,所以你要记住的是在 ACL 里至少要有 1条 permit 语句
5.记得创建了 ACL 后要把它应用在需要过滤的接口上
6.ACL 是用于过滤经过 router的数据包,它并不会过滤 router本身所产生的数据包
7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源
地址近的地方
Standard Access Lists
介绍 ACL 设置之前先介绍下通配符掩码(wildcard masking).它是由 0 和255 的4 个8 位位组
组成的.0 代表必须精确匹配,255 代表随意,比如:172.16.30.0 0.0.0.255,这个告诉 router前 3 位
的 8 位位组必须精确匹配,后 1 位 8 位位组的值可以为任意值.如果你想指定 172.16.8.0 到
172.16.15.0,则通配符掩码为 0.0.7.255(15-8=7)
配置 IP标准 ACL,在特权模式下使用 access-lists [ACL号] [permit/deny] [any/host]命令.ACL
号为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个
主机(需要跟上 IP地址)或某 1 段
我们来看 1个设置 IP标准 ACL 的实例:
如图,router有 3 个 LAN的连接 1 个 Internet 的连接.现在,销售部的用户不允许访问金融部的
用户,但是允许他们访问市场部和 Internet 连接.配置如下:
Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255
Router(config)#access-list 10 permit any
注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.
接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地
方,所以使用 ip access-group 命令把 ACL 10 放在 E1接口,方向为出,即 out.如下:
Router(config)#int e1
Router(config-if)#ip access-group 10 out
Controlling VTY(Telnet) Access
使用 IP标准 ACL 来控制VTY线路的访问.配置步骤如下:
1.创建个 IP标准 ACL 来允许某些主机可以 telnet
2.使用 access-class 命令来应用 ACL 到VTY线路上
实例如下:
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in
如上,进入 VTY 线路模式,应用 ACL,方向为进来,即 in.因为默认隐含的 deny any,所以上面的
例子,只允许 IP地址为 172.16.10.3 的主机 telnet 到 router上
Extended Access Lists
扩展 ACL:命令是 access-list [ACL 号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端
口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表
等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志
来看 1个配置扩展 ACL的实例:
假如要拒 telnet 和 FTP到绝位于金融部的主机 172.16.30.5,配置如下:
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Router(config)#access-list 110 permit ip any any
记住默认隐含的 deny all.应用到 E1接口,注意方向为 out,如下:
Router(config)#int e1
Router(config-if)#ip access-group 110 out
Named Access Lists
命名访问列表是创建标准和扩展访问列表的另外 1 种方法.它允许你使用命名的方法来创建
和应用标准或者扩展访问列表.使用 ip access-list命令来创建,如下:
Router(config)#ip access-list ?
extended Extended Acc
logging Control access list logging
standard Standard Access List
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name
Router(config)#ip access-list standard BlockSales Router(config-std-nacl)#?
Standard Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its default
permit Specify packets to forward
Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#^Z
Router#sh run
(略)
!
ip access-list standard BlockSales
deny 172.16.40.0 0.0.0.255
permit any
!
(略)
接下来应用到接口上,如下:
Router(config)#int 1
Router(config-if)#ip access-group BlockSales out
Router(config-if)#^Z
Router#
Monitoring Access Lists
一些验证 ACL的命令,如下:
1.show access-list:显示 router 上配置了的所有的 ACL 信息,但是不显示哪个接口应用了哪
个 ACL的信息
2.show access-list [number]:显示具体第几号 ACL信息,也不显示哪个接口应用了这个 ACL
3.show ip access-list:只显示 IP 访问列表信息
4.show ip interface:显示所有接口的信息和配置的 ACL信息
5.show ip interface [接口号]:显示具体某个接口的信息和配置的 ACL信息
6.show running-config:显示 DRAM 信息和 ACL信息,以及接口对 ACL的应用信息
转载于:https://blog.51cto.com/tianlang/121610
扫一扫
4669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
