路由器的訪問控制列表
『壹』 路由器使用名字標識訪問控制列表的配置方法
給計算機A設置IP為192.168.1.2,子網掩碼為255.255.255.0,網關為192.168.1.1
2
給計算機B設置IP為192.168.2.2,子網掩碼為255.255.255.0,網關為192.168.2.1
3
給計算機C設置IP為192.168.3.2,子網掩碼為255.255.255.0,網關為192.168.3.1
4
給路由A0/0埠配置IP為192.168.2.1,子網掩碼為255.255.255.0,開啟埠
5
給路由A1/0埠配置IP為192.168.4.1,子網掩碼為255.255.255.0,開啟埠
6
給路由A6/0埠配置IP為192.168.1.1,子網掩碼為255.255.255.0,開啟埠
7
給路由B0/0埠配置IP為192.168.3.1,子網掩碼為255.255.255.0,開啟埠
8
給路由B1/0埠配置IP為192.168.4.2,子網掩碼為255.255.255.0,開啟埠
9
給路由A配置靜態路由跳轉,命令如下:
Router(config#)iproute 192.168.3.0 255.255.255.0 192.168.4.2
10
給路由B配置靜態路由跳轉,命令如下:
Router(config-if)#iproute 192.168.1.0 255.255.255.0 192.168.4.1
Router(config-if)#iproute 192.168.2.0 255.255.255.0 192.168.4.1
11
測試全網是否連通,分別用計算機A跟計算機B去ping計算機C,以下是截圖:
可以看到,全網已經連通!
END
步驟二:配置訪問控制列表
創建一個命令為gd0668seo的路由控製表,具體命令如下:
Router(config)#ipaccess-list standard gd0668seo
Router(config-std-nacl)#deny192.168.1.0 0.0.0.255
Router(config-std-nacl)#permit192.168.2.0 0.0.0.255
Router(config-std-nacl)#exit
以下是截圖:
進入路由A的1/0埠,使用gd0668seo這個表!具體命令如下:
Router(config)#interfas 1/0
Router(config-if)#ipaccess-group gd0668seo out
Router(config-if)#exit
以下是截圖:
3
測試路由控制列表是否生效了,如果生效了的話那麼用計算機A去ping計算機C是ping不通的;而用計算機B去ping計算機C卻能ping通的!以下是截圖!
這樣,路由的控制訪問列表就配置完成了!
『貳』 路由器訪問控制列表(ACL)的特性有哪些
網路安全保障的第一道關卡 對於許多網管員來說,配置路由器的訪問控制列表是一件經常性的工作,可以說,路由器的訪問控制列表是網路安全保障的第一道關卡。訪問列表提供了一種機制,它可以控制和過濾通過路由器的不同介面去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網路的相關策略。這些策略可以描述安全功能,並且反映流量的優先順序別。例如,某個組織可能希望允許或拒絕Internet對內部Web伺服器的訪問,或者允許內部區域網上一個或多個工作站能夠將數據流發到廣域網上。這些情形,以及其他的一些功能都可以通過訪問表來達到目的。 訪問列表的種類劃分 目前的路由器一般都支持兩種類型的訪問表:基本訪問表和擴展訪問表。
1、基本訪問表控制基於網路地址的信息流,且只允許過濾源地址。
2、擴展訪問表通過網路地址和傳輸中的數據類型進行信息流控制,允許過濾源地址、目的地址和上層應用數據。
表1列出了路由器所支持的不同訪問表的號碼范圍。
由於篇幅所限,本文只對標准訪問列表和擴展訪問列表進行討論。 標准IP訪問表 標准IP訪問表的基本格式為:
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面對標准IP訪問表基本格式中的各項參數進行解釋:
1.list number---表號范圍
標准IP訪問表的表號標識是從1到99。
2.permit/deny----允許或拒絕
關鍵字permit和deny用來表示滿足訪問表項的報文是允許通過介面,還是要過濾掉。permit表示允許報文通過介面,而deny表示匹配標准IP訪問表源地址的報文要被丟棄掉。 3.source address----源地址
對於標準的IP訪問表,源地址是主機或一組主機的點分十進製表示,如:198.78.46.8。
4.host/any----主機匹配
host和any分別用於指定單個主機和所有主機。host表示一種精確的匹配,其屏蔽碼為0.0.0.0。例如,假定我們希望允許從198.78.46.8來的報文,則使用標準的訪問控制列表語句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果採用關鍵字host,則也可以用下面的語句來代替:
access-list 1 permithost 198.78.46.8
也就是說,host是0.0.0.O通配符屏蔽碼的簡寫。
與此相對照,any是源地證/目標地址0.O.O.O/255.255.255.255的簡寫。假定我們要拒絕從源地址198.78.46.8來的報文,並且要允許從其他源地址來的報文,標準的IP訪問表可以使用下面的語句達到這個目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意,這兩條語句的順序;訪問表語句的處理順序是由上到下的。如果我們將兩個語句順序顛倒,將permit語句放在deny語句的前面,則我們將不能過濾來自主機地址198.78.46.8的報文,因為permit語句將允許所有的報文通過。所以說訪問表中的語句順序是很重要的,因為不合理語句順序將會在網路中產生安全漏洞,或者使得用戶不能很好地利用公司的網路策略。 5.wildcardmask------通配符屏蔽碼
Cisco訪問表功能所支持的通配符屏蔽碼與子網屏蔽碼的方式是剛好相反的,也就是說,二進制的O表示一個"匹配"條件,二進制的1表示一個"不關心"條件。假設組織機構擁有一個C類網路198.78.46.0,若不使用子網,則當配置網路中的每一個工作站時,使用於網屏蔽碼255.255.255.O。在這種情況下,1表示一個 "匹配",而0表示一個"不關心"的條件。因為Cisco通配符屏蔽碼與子網屏蔽碼是相反的,所以匹配源網路地址198.78.46.0中的所有報文的通配符屏蔽碼為:0.0.O.255。
6.Log----日誌記錄
log關鍵字只在IOS版本11.3中存在。如果該關鍵字用於訪問表中,則對那些能夠匹配訪問表中的permit和deny語句的報文進行日誌記錄。日誌信息包含訪問表號、報文的允許或拒絕、源IP地址以及在顯示了第一個匹配以來每5分鍾間隔內的報文數目。使用log關鍵字,會使控制台日誌提供測試和報警兩種功能。系統管理員可以使用日誌來觀察不同活動下的報文匹配情況,從而可以測試不同訪問表的設計情況。當其用於報警時,管理員可以察看顯示結果,以定位那些多次嘗試活動被拒絕的訪問表語句。執行一個訪問表語句的多次嘗試活動被拒絕,很可能表明有潛在的黑客攻擊活動。 擴展的IP訪問控制列表 顧名思義,擴展的IP訪問表用於擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據如下內容過濾報文:源和目的地址、協議、源和目的埠以及在特定報文欄位中允許進行特殊位比較等等。一個擴展的IP訪問表的一般語法格或如下所示:
下面簡要介紹各個關鍵字的功能:
1.list number----表號范圍
擴展IP訪問表的表號標識從l00到199。
2.protocol-----協議
協議項定義了需要被過濾的協議,例如IP、TCP、UDP、ICMP等等。協議選項是很重要的,因為在TCP/IP協議棧中的各種協議之間有很密切的關系,如果管理員希望根據特殊協議進行報文過濾,就要指定該協議。
另外,管理員應該注意將相對重要的過濾項放在靠前的位置。如果管理員設置的命令中,允許IP地址的語句放在拒絕TCP地址的語句前面,則後一個語句根本不起作用。但是如果將這兩條語句換一下位置,則在允許該地址上的其他協議的同時,拒絕了TCP協議。
3.源埠號和目的埠號
源埠號可以用幾種不同的方法來指定。它可以顯式地指定,使用一個數字或者使用一個可識別的助記符。例如,我們可以使用80或者http來指定Web的超文本傳輸協議。對於TCP和UDP,讀者可以使用操作符 "<"(小於)、">"(大於)"="(等於)以及""(不等於)來進行設置。
目的埠號的指定方法與源埠號的指定方法相同。讀者可以使用數字、助記符或者使用操作符與數字或助記符相結合的格式來指定一個埠范圍。
下面的實例說明了擴展IP訪問表中部分關鍵字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一個語句允許來自任何主機的TCP報文到達特定主機198.78.46.8的smtp服務埠(25);第二個語句允許任何來自任何主機的TCP報文到達指定的主機198.78.46.3的www或http服務埠(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.選項
擴展的IP訪問表支持很多選項。其中一個常用的選項有log,它已在前面討論標准訪問表時介紹過了。另一個常用的選項是established,該選項只用於TCP協議並且只在TCP通信流的一個方向上來響應由另一端發起的會話。為了實現該功能,使用established選項的訪問表語句檢查每個 TCP報文,以確定報文的ACK或RST位是否已設置。
例如,考慮如下擴展的IP訪問表語句:
access-list 101 permit tcp any host 198.78.46.8 established
該語句的作用是:只要報文的ACK和RST位被設置,該訪問表語句就允許來自任何源地址的TCP報文流到指定的主機198.78.46.8。這意味著主機198.78.46.8此前必須發起TCP會話。 5.其他關鍵字
deny/permit、源地址和通配符屏蔽碼、目的地址和通配符屏蔽碼以及host/any的使用均與標准IP訪問表中的相同。
表2是對部分關鍵字的具體解釋。
表 2:
管理和使用訪問表 在一個介面上配置訪問表需要三個步驟:
(1)定義訪問表;
(2)指定訪問表所應用的介面;
(3)定義訪問表作用於介面上的方向。
我們已經討論了如何定義標準的和擴展的IP訪問表,下面將討論如何指定訪問表所用的介面以及介面應用的方向。
一般地,採用interface命令指定一個介面。例如,為了將訪問表應用於串口0,應使用如下命令指定此埠:
interface serial0
類似地,為將訪問表應用於路由器的乙太網埠上時,假定埠為Ethernet0,則應使用如下命令來指定此埠:
interface ethernet0
在上述三個步驟中的第三步是定義訪問表所應用的介面方向,通常使用ip access-group命令來指定。其中,列表號標識訪問表,而關鍵字in或out則指明訪問表所使用的方向。方向用於指出是在報文進入或離開路由器介面時對其進行過濾。如下的實例將這三個步驟綜合在一起: intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中,先使用interface命令指定串列埠0,並使用ipaccess-group命令來將訪問表l07中的語句應用於串列介面的向內方向上。最後,輸入6個訪問表語句,其中三條訪問表語句使用關鍵字remark
『叄』 路由器訪問控制列表
in的時候判斷的是源地址是vlan內的地址,out的時候判斷源地址是非本vlan 內的地址。
給你個例子,18 19兩個不同的網段,在18網段上加訪問列表,
----〉表示能夠訪問,---X-->表示不能訪問。
ip access-l exte test_liu
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
exit
測試:18.5--X-->19.30
19.30--X-->18.5
____________________________________________________
inter vlan 18
ip access-g test_liu out
exit
測試:18.5---->19.30
19.30---->18.5
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ip access-l exte test_liu
deny ip host 10.24.19.30 host 10.24.18.5
permit ip any any
----------------------------------------------------
inter vlan 18
ip access-g test_liu in
exit
測試:18.5---->19.30
19.30---->18.5
__________________________________________________
inter vlan 18
ip access-g test_liu out
exit
測試:18.5--X-->19.30
19.30--X-->18.5
_____________________ _____
『肆』 路由器IP訪問列表怎麼設置
IP Access-list:IP訪問列表或訪問控制列表,簡稱IP ACL
ACL就是對經過網路設備的數據包根據一定的規則進行數據包的過濾
訪問控制列表的作用
內網布署安全策略,保證內網安全許可權的資源訪問
內網訪問外網時,進行安全的數據過濾
防止常見病毒、木馬、攻擊對用戶的破壞
ACL一般配置步驟
1、定義規則(哪些數據允許通過,哪些數據不允許通過);
2、將規則應用在路由器(或三層交換機)的介面上。
兩種類型:
標准ACL(standard IP ACL)
擴展ACL (extended IP ACL)
IP標准訪問列表的配置
1、定義標准ACL
編號的標准訪問列表(路由器和三層交換機支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩碼]
命名的標准訪問列表(路由器、三層交換機和二層交換機支持)
2、應用ACL到介面
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的標准訪問列表(路由器、三層交換機)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩碼]
switch(config-if)#ip access-group name { in | out }
IP擴展訪問列表的配置
1.定義擴展的ACL:
編號的擴展ACL (路由器和三層交換機支持)
Router(config)#access-list <100-199> { permit /deny }
協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
命名的擴展ACL (路由器、三層交換機和二層交換機支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 協議 源地址 反掩碼 [源埠] 目的地址 反掩碼 [ 目的埠 ]
2.應用ACL到介面:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基於時間的訪問控制列表
通過基於時間的定時訪問控制列表,定義在什麼時間允許或拒絕數據包。
只不過在配置ACL之前定義一個時間范圍。然後再通過引用這個時間范圍來對網路中的流量進行科學合理的限制。
對於不同的時間段實施不同的訪問控制規則
在原有ACL的基礎上應用時間段
任何類型的ACL都可以應用時間段
基於時間的列表的配置
校正路由器時鍾
在全局模式
Clock set hh:mm:ss date month year 設置路由器的當前時間
Clock up_calender 保存設置
配置時間段
時間段
絕對時間段(absolute)
周期時間段(periodic)
混合時間段:先絕對,後周期
Router(config)# time-range time-range-name 給時間段取名,配置ACL時通過名字引用
配置絕對時間
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示時間段的起始時間。time表示時間,格式為「hh:mm」。date表示日期,格式為「日 月 年」
end time date:表示時間段的結束時間,格式與起始時間相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期時間
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 說明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平時(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、關聯ACL與時間段,應用時間段
在ACL規則中使用time-range參數引用時間段
只有配置了time-range的規則才會在指定的時間段內生效,其它未引用時間段的規則將不受影響
access-list 101 permit ip any any time-range time-range-name
驗證訪問列表和time-range介面配置
Router# show access-lists !顯示所有訪問列表配置
Router#show time-range ! 顯示time-range介面配置
註:1、一個訪問列表多條過濾規則
按規則來進行匹配。
規則匹配原則:
從頭到尾,至頂向下的匹配方式
匹配成功,則馬上使用該規則的「允許/拒絕……」
一切未被允許的就是禁止的。定義訪問控制列表規則時,最終的預設規則是拒絕所有數據包通過,即deny any any
顯示全部的訪問列表
Router#show access-lists
顯示指定的訪問列表
Router#show access-lists <1-199>
顯示介面的訪問列表應用
Router#show ip interface 介面名稱 介面編號
一個埠在一個方向上只能應用一組ACL。
銳捷全系列交換機可針對物理介面和SVI介面應用ACL。
針對物理介面,只能配置入棧應用(In);
針對SVI(虛擬VLAN)介面,可以配置入棧(In)和出棧(Out)應用。
訪問列表的預設規則是:拒絕所有。
對於標准ACL,應盡量將ACL設置在離目標網路最近的介面,以盡可能擴大源網路的訪問范圍。
對於擴展ACL,應盡量將ACL設置在離源網路最近的介面,以盡可能減少網路中的無效數據流。
『伍』 思科Cisco路由器的ACL控制列表設置
1、根據問題1,需在在switch3上做acl,其PC3不能訪問伺服器192.168.3.3,命令如下:
switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3 //拒絕網路192.168.4.4訪問伺服器192.168.3.3。
switch3(config)#access-list 100 peimit ip any any //允許其他主機訪問。
switch3(config) #interface f0/5
switch3(config-if) #ip access-group 100 in //在路由器f0/5介面入方向下調用此ACL 100。
2、根據問題2,PC0、PC1、PC2之間訪問關系,如下命令:
switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33 //PC0禁止訪問外網
switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2 //PC0允許訪問PC2
switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2 //PC1允許訪問PC2
switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255 //PC2禁止訪問192.168.1.0網段
switch3(config) #interface f0/2
switch3(config-if) #ip access-group 101 in
switch3(config) #interface f0/3
switch3(config-if) #ip access-group 102 in //分別在switch3上調用acl 101和102。
3、根據問題3,acl分為標准acl和擴展acl,其標准acl訪問控制列表號為1-99,擴展acl訪問控制列表號為100-199,每條acl下又能創建多條規則,但一個介面下只能調用一條acl。
4、根據問題4,其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24,表示的是192.168.1.0~192.168.1.255地址范圍,命令為:
switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any //允許192.168.0.0/16地址訪問任何網路。
(5)路由器的訪問控制列表擴展閱讀:
ACL可以應用於多種場合,其中最為常見的應用情形如下:
1、過濾鄰居設備間傳遞的路由信息。
2、控制交換訪問,以此阻止非法訪問設備的行為,如對 Console介面、 Telnet或SSH訪問實施控制。
3、控制穿越網路設備的流量和網路訪問。
4、通過限制對路由器上某些服務的訪問來保護路由器,如HTP、SNMP和NIP等。
5、為DDR和 IPSeC VPN定義感興趣流。
6、能夠以多種方式在IOS中實現QoS(服務質量)特性。
7、在其他安全技術中的擴展應用,如TCP攔截和IOS防火牆。
『陸』 路由器中的防火牆,訪問控制列表怎麼設置
訪問控制列表設置:
RouterX(config)#access-list 1 deny 10.0.0.1 0.0.0.0
RouterX(config)#access-list 1 permit 0.0.0.0 255.255.255.255.
RouterX(config)#interface ethernet0
RouterX(config-if)#ip access-group 1 out
說明:把「10.0.0.1「地址改成你想讓上網的IP地址就OK了!