路由訪問列表

A. 路由器訪問控制列表（ACL）的特性有哪些

網路安全保障的第一道關卡 對於許多網管員來說，配置路由器的訪問控制列表是一件經常性的工作，可以說，路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制，它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流，以制定公司內部網路的相關策略。這些策略可以描述安全功能，並且反映流量的優先順序別。例如，某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問，或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形，以及其他的一些功能都可以通過訪問表來達到目的。 訪問列表的種類劃分 目前的路由器一般都支持兩種類型的訪問表：基本訪問表和擴展訪問表。
1、基本訪問表控制基於網路地址的信息流，且只允許過濾源地址。
2、擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制，允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。

由於篇幅所限，本文只對標准訪問列表和擴展訪問列表進行討論。 標准IP訪問表 標准IP訪問表的基本格式為：
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標准IP訪問表基本格式中的各項參數進行解釋：
1.list number---表號范圍
標准IP訪問表的表號標識是從1到99。
2.permit/deny----允許或拒絕
關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過介面，還是要過濾掉。permit表示允許報文通過介面，而deny表示匹配標准IP訪問表源地址的報文要被丟棄掉。 3.source address----源地址
對於標準的IP訪問表，源地址是主機或一組主機的點分十進製表示，如:198.78.46.8。
4.host/any----主機匹配
host和any分別用於指定單個主機和所有主機。host表示一種精確的匹配，其屏蔽碼為0.0.0.0。例如，假定我們希望允許從198.78.46.8來的報文，則使用標準的訪問控制列表語句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果採用關鍵字host，則也可以用下面的語句來代替：
access-list 1 permithost 198.78.46.8
也就是說，host是0.0.0.O通配符屏蔽碼的簡寫。
與此相對照，any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文，並且要允許從其他源地址來的報文，標準的IP訪問表可以使用下面的語句達到這個目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意，這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒，將permit語句放在deny語句的前面，則我們將不能過濾來自主機地址198.78.46.8的報文，因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網路中產生安全漏洞，或者使得用戶不能很好地利用公司的網路策略。 5.wildcardmask------通配符屏蔽碼
Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的，也就是說，二進制的O表示一個"匹配"條件，二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網路198.78.46.0，若不使用子網，則當配置網路中的每一個工作站時，使用於網屏蔽碼255.255.255.O。在這種情況下，1表示一個 "匹配"，而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的，所以匹配源網路地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。
6.Log----日誌記錄
log關鍵字只在IOS版本11.3中存在。如果該關鍵字用於訪問表中，則對那些能夠匹配訪問表中的permit和deny語句的報文進行日誌記錄。日誌信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鍾間隔內的報文數目。使用log關鍵字，會使控制台日誌提供測試和報警兩種功能。系統管理員可以使用日誌來觀察不同活動下的報文匹配情況，從而可以測試不同訪問表的設計情況。當其用於報警時，管理員可以察看顯示結果，以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕，很可能表明有潛在的黑客攻擊活動。 擴展的IP訪問控制列表 顧名思義，擴展的IP訪問表用於擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的埠以及在特定報文欄位中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或如下所示:

下面簡要介紹各個關鍵字的功能:
1.list number----表號范圍
擴展IP訪問表的表號標識從l00到199。
2.protocol-----協議
協議項定義了需要被過濾的協議，例如IP、TCP、UDP、ICMP等等。協議選項是很重要的，因為在TCP/IP協議棧中的各種協議之間有很密切的關系，如果管理員希望根據特殊協議進行報文過濾，就要指定該協議。
另外，管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中，允許IP地址的語句放在拒絕TCP地址的語句前面，則後一個語句根本不起作用。但是如果將這兩條語句換一下位置，則在允許該地址上的其他協議的同時，拒絕了TCP協議。
3.源埠號和目的埠號
源埠號可以用幾種不同的方法來指定。它可以顯式地指定，使用一個數字或者使用一個可識別的助記符。例如，我們可以使用80或者http來指定Web的超文本傳輸協議。對於TCP和UDP，讀者可以使用操作符 "<"(小於)、">"(大於)"="(等於)以及""(不等於)來進行設置。
目的埠號的指定方法與源埠號的指定方法相同。讀者可以使用數字、助記符或者使用操作符與數字或助記符相結合的格式來指定一個埠范圍。
下面的實例說明了擴展IP訪問表中部分關鍵字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一個語句允許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務埠(25);第二個語句允許任何來自任何主機的TCP報文到達指定的主機198.78.46.3的www或http服務埠(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.選項
擴展的IP訪問表支持很多選項。其中一個常用的選項有log，它已在前面討論標准訪問表時介紹過了。另一個常用的選項是established，該選項只用於TCP協議並且只在TCP通信流的一個方向上來響應由另一端發起的會話。為了實現該功能，使用established選項的訪問表語句檢查每個 TCP報文，以確定報文的ACK或RST位是否已設置。
例如，考慮如下擴展的IP訪問表語句:
access-list 101 permit tcp any host 198.78.46.8 established
該語句的作用是:只要報文的ACK和RST位被設置，該訪問表語句就允許來自任何源地址的TCP報文流到指定的主機198.78.46.8。這意味著主機198.78.46.8此前必須發起TCP會話。 5.其他關鍵字
deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標准IP訪問表中的相同。
表2是對部分關鍵字的具體解釋。
表 2：
管理和使用訪問表 在一個介面上配置訪問表需要三個步驟：
(1)定義訪問表;
(2)指定訪問表所應用的介面;
(3)定義訪問表作用於介面上的方向。
我們已經討論了如何定義標準的和擴展的IP訪問表，下面將討論如何指定訪問表所用的介面以及介面應用的方向。
一般地，採用interface命令指定一個介面。例如，為了將訪問表應用於串口0，應使用如下命令指定此埠:
interface serial0
類似地，為將訪問表應用於路由器的乙太網埠上時，假定埠為Ethernet0，則應使用如下命令來指定此埠：
interface ethernet0
在上述三個步驟中的第三步是定義訪問表所應用的介面方向，通常使用ip access-group命令來指定。其中，列表號標識訪問表，而關鍵字in或out則指明訪問表所使用的方向。方向用於指出是在報文進入或離開路由器介面時對其進行過濾。如下的實例將這三個步驟綜合在一起： intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中，先使用interface命令指定串列埠0，並使用ipaccess-group命令來將訪問表l07中的語句應用於串列介面的向內方向上。最後，輸入6個訪問表語句，其中三條訪問表語句使用關鍵字remark

B. 路由器使用名字標識訪問控制列表的配置方法

給計算機A設置IP為192.168.1.2，子網掩碼為255.255.255.0，網關為192.168.1.1
2
給計算機B設置IP為192.168.2.2，子網掩碼為255.255.255.0，網關為192.168.2.1
3
給計算機C設置IP為192.168.3.2，子網掩碼為255.255.255.0，網關為192.168.3.1
4
給路由A0/0埠配置IP為192.168.2.1，子網掩碼為255.255.255.0，開啟埠
5
給路由A1/0埠配置IP為192.168.4.1，子網掩碼為255.255.255.0，開啟埠
6
給路由A6/0埠配置IP為192.168.1.1，子網掩碼為255.255.255.0，開啟埠
7
給路由B0/0埠配置IP為192.168.3.1，子網掩碼為255.255.255.0，開啟埠
8
給路由B1/0埠配置IP為192.168.4.2，子網掩碼為255.255.255.0，開啟埠
9
給路由A配置靜態路由跳轉，命令如下：
Router(config#)iproute 192.168.3.0 255.255.255.0 192.168.4.2

10
給路由B配置靜態路由跳轉，命令如下：
Router(config-if)#iproute 192.168.1.0 255.255.255.0 192.168.4.1
Router(config-if)#iproute 192.168.2.0 255.255.255.0 192.168.4.1

11
測試全網是否連通，分別用計算機A跟計算機B去ping計算機C，以下是截圖：
可以看到，全網已經連通！

END
步驟二：配置訪問控制列表

創建一個命令為gd0668seo的路由控製表，具體命令如下：
Router(config)#ipaccess-list standard gd0668seo
Router(config-std-nacl)#deny192.168.1.0 0.0.0.255
Router(config-std-nacl)#permit192.168.2.0 0.0.0.255
Router(config-std-nacl)#exit
以下是截圖：

進入路由A的1/0埠，使用gd0668seo這個表！具體命令如下：
Router(config)#interfas 1/0
Router(config-if)#ipaccess-group gd0668seo out
Router(config-if)#exit
以下是截圖：

3
測試路由控制列表是否生效了，如果生效了的話那麼用計算機A去ping計算機C是ping不通的；而用計算機B去ping計算機C卻能ping通的！以下是截圖！
這樣，路由的控制訪問列表就配置完成了！

C. 設置登錄路由器訪問列表中 access-class 30 in 什麼意思

禁止192.168.1.0網路地址進入路由器，其它的網段允許進入路由器

IP Access-list：IP訪問列表或訪問控制列表，簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略，保證內網安全許可權的資源訪問

內網訪問外網時，進行安全的數據過濾

防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則（哪些數據允許通過，哪些數據不允許通過）；
2、將規則應用在路由器（或三層交換機）的介面上。

兩種類型：
標准ACL（standard IP ACL）
擴展ACL （extended IP ACL）
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表（路由器和三層交換機支持）Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表（路由器、三層交換機和二層交換機支持）

D. 怎樣在家用路由器中設置可以訪問的網站列表

一般小廠的家用路由器不支持這種功能。像TP-Link等知名廠家的家用路由器會支付這種功能。
可以進入路由器設置界面，安全設置這一類中，查找一下有沒有IP過濾和域名過濾（網址過濾）。如果有，添加相應的過慮規則就可以了。
例如在域名過濾一欄中添加一項「sina.com.cn」設置為「允許」，則說明用戶除了可以訪問新浪之外，不能訪問其他網站。
如果在域名過濾一欄中添加一項「sina.com.cn」設置為「不允許」，則說明用戶除了不能訪問新浪之外，其他網站都能訪問。

E. 路由器的訪問控制列表是怎樣設置的

在路由上建若干個訪問控制列表（ACL），然後配置好後把它們應用到相應埠，就能實現你的要求。
擴展型的ACL可以實現限制某些IP地址的某些服務或埠的攔截，比如電子郵件，FTP之類都是可以限制的，只能訪問某一站點也是可以實現的，只允許它們訪問限定的IP就行了。
具體的就是TELNET到你路由的介面，然後打命令去。具體命令想解釋清楚就太長了。。。也不知道你什麼情況沒法細說。
限制改IP也很容易實現，如果你用的WINDOWS的話，只要設置許可權就行了。具體的到「本地安全策略」里設，點
開始-運行-輸入「gpedit.msc」
在「本地策略」的「用戶權利指派」里有各用戶組的權利分配。如果對用戶組做調整，用「組策略」-開始-運行-「gpedit.msc」
可以把用戶劃分到不同的組以分配許可權。

F. 路由器在特權用戶模式下訪問控制列表

deny any (1581 matches) 拒絕任何（1581個匹配項）

在一台Cisco路由器上執行show access-list命令顯示如下一組限制遠程登錄的訪問控制列表信息
standard IP access list 40
permit 167.112.75.89 (54 matches)
permit 202.113.65.56 (12 matches)
deny any (1581 matches)
根據上述信息，正確的access-list的配置是______。

A．Router (config) #access-list 40 permit 167.112.75.89
Router (config) #access-list 40 permit 202.113.65.56
Router (config) #access-list 40 deny any
Router (config) #line vty0 5
Router (config-line) #access-class 40 in

G. 無線路由器的允許訪問列表什麼意思 有限制么

路由器裡面有限制ip/mac的選項，如果開啟了這個選項，那麼只有該列表下的ip/mac才可以訪問網路，其它訪客需要管路員把該設備加進該列表才能訪問網路。
我就是這么做的，比人就算接到路由器上也不能訪問網路，沒有路由器的密碼也不能更改，所以看起來你連上了，但是沒有許可權。
如果是自己家裡的路由器，進去把有關無線設置方面的選項看下一般的勾都給他去掉，防火牆關了，安全方面可以設置個密碼。

H. 華為交換機配置vlan設定IP及路由做訪問控制列表怎麼做

首先有幾個問題你沒有說太明白，我只好做假設。
1，你所給的5個IP地址，是配置在S93上作為5個VLAN的網關來使用的嗎？你沒說明，我只能假設是。
2，還有你的VLAN是在S93上開始的嗎？也就是說S93的接入口該是什麼模式？你沒說明，我只能假設開始於S93既交換機埠都是access模式。
3，設置靜態路由則我們需要嚇一跳地址和出介面，你沒有給出。我只能做個假設。
好了配置開始。（接下來我寫的是配置腳本，你可以直接復制使用，當然就沒必要復制其中我用漢字進行說明的部分了）
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不會用到VLAN1這是個莫用規則，因為VLAN1在所有設備上都存在，使用起來有諸多不便，還存在安全隱患）
vlan7（按照你的意思我猜測你的VLAN在此終結，也就是說上聯口要有IP地址，而在93上IP地址是只能配在VLAN中而不能配在介面下的，所以將上聯口的互聯地址配置在此VLAN中，將上聯口加入此VLAN即可）
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你沒有給出掩碼，經過我的計算只有255.255.254.0這個掩碼能滿足你現在過給的網段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (沒做過S93的估計會指出這不用改，呵呵。事實上93上埠的默認狀態是trunk所以沒做過的 請閉嘴）
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因為你沒指明上聯口互聯地址我只能寫？號，這里要寫上聯口的對端地址。）
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下來是訪問控制，在93中訪問控制列表只是工具不能直接在埠下調用。

acl 3001(要做基於目的地址和源地址的訪控必須是高級訪問控制列表，從3000開始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此處用的是反掩碼）
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意訪問控制列表應該是雙向的不僅要控制回來還要控制出去注意綁定方向）
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成，如果還有什麼問題，可以問我。）

I. 怎樣配置路由器的ACL命名訪問控制列表

1.配置標准命名ACL：其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置標准命名ACL
Router(config)# ip access-list standard name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置擴展命名ACL:其中name就是要配置ACL名稱，一般使用英文字母及數字組成
步驟一：配置擴展命名ACL
Router(config)# ip access-list extended name
步驟二：在命名的ACL配置模式下輸入相應的語句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步驟三：將ACL列表應用到相應介面的相應方向
Router(config-if)# IP access-group acl-name {in|out}