路由器訪問控制列表配置
① 路由器的訪問控制列表是怎樣設置的
訪問控制列表是一種包過濾技術,分為標准訪問控制列表(編號為1到99)和擴展訪問控制列表(編號為100到199)兩類。標准訪問控制列表主要是對源地址的控制,適用於所有的協議。
以Cisco2600路由器為例,假設允許192.168.1.0網段內的所有機器通過路由器出去,那麼設置如下:access-list 1 permit 192.168.1.0 0.0.0.255interface serial 0ip access-group 1 out其中,0.0.0.255為該網段的通配符掩碼。非標准訪問控制列表可以實現對源地址和目的地址的雙重控制,還可以只針對某一協議作控制。以Cisco路由器為例,假設拒絕192.16.1.0網段內的所有機器通過80埠從路由器訪問新浪網站,操作如下:access-list 101 deny tcp 192.168.1.0 0.0.0.255 www.sina.com.cn eq 80access-list 101 permit any anyinterface serial 1ip access-group 101 out
② 訪問控制列表ACL及配置教程
訪問控制列表:
ACL:
(accesscontrollist)
適用所有的路由協議:IP,IPX,AppleTalk
控制列表分為兩種類型:
1.標准訪問控制列表:檢查被路由數據包的源地址、1~99代表號
2.擴展訪問控制列表:對數據包的源地址與目標地址進行檢查。
訪問控制列表最常見的用途是作為數據包的過濾器。
其他用途;可指定某種類型的數據包的優先順序,以對某些數據包優先處理
識別觸發按需撥號路由(DDR)的相關通信量
路由映射的基本組成部分
ACL能夠用來:
提供網路訪問的基本安全手段
訪問控制列表可用於Qos(QualityofService,服務質量)對數據流量進行控制。
可指定某種類型的數據包的優先順序,以對某些數據包優先處理起到了限制網路流量,減少網路擁塞
的作用
提供對通信流量的控制手段
訪問控制列表對本身產生的的數據包不起作用,如一些路由更新消息
路由器對訪問控制列表的處理過程:
(1)如果介面上沒有ACL,就對這個數據包繼續進行常規處理
(2)如果對介面應用了訪問控制列表,與該介面相關的一系列訪問控制列表語句組合將會檢測它:
*若第一條不匹配,則依次往下進行判斷,直到有一條語句匹配,則不再繼續判斷。
路由器將決定該數據包允許通過或拒絕通過
*若最後沒有任一語句匹配,則路由器根據默認處理方式丟棄該數據包。
*基於ACL的測試條件,數據包要麼被允許,要麼被拒絕。
(3)訪問控制列表的出與入,
使用命令ipaccess-group,可以把訪問控制列表應用到某一個介面上。
in或out指明訪問控制列表是對近來的,還是對出去的數據包進行控制
【在介面的一個方向上,只能應用1個access-list】
路由器對進入的數據包先檢查入訪問控制列表,對允許傳輸的數據包才查詢路由表
而對於外出的數據包先檢查路由表,確定目標介面後才檢查看出訪問控制列表
======================================================================
應該盡量把放問控制列表應用到入站介面,因為它比應用到出站介面的效率更高:
將要丟棄的數據包在路由器驚醒了路由表查詢處理之前就拒絕它
(4)訪問控制列表中的deny和permit
全局access-list命令的通用形式:
Router(config)#access-listaccess-list-number{permit|deny}{testconditions}
這里的語句通過訪問列表表號來識別訪問控制列表。此號還指明了訪問列表的類別。
1.創建訪問控制列表
access-list1deny172.16.4.130.0.0.0(標準的訪問控制列表)
access-list1permit172.16.0.00.0.255.255(允許網路172.16.0.0)的所有流量通過
access-list1permit0.0.0.0255.255.255.255(允許任何流量通過,如過沒有隻允許172.16.0.0
的流量通過)
2.應用到介面E0的出口方向上:
interfacefastehernet0/0
ipaccess-group1out(把ACL綁定到介面)
刪除一個訪問控制列表,首先在介面模式下輸入命令:
noipaccess-group
然後在全局模式下輸入命令
noaccess-list
並帶上它的全部參數
?〖訪問控制列表的通配符〗
0.0.0.0255.255.255.255=====any
Router(config)#access-list1permit172.30.16.290.0.0.0
======Router(config)#access-list1permithost172.30.16.29
+++++++++++++++++++++++++++++==
訪問控制列表的種類
+++++++++++++++++++++++++++
標准IP訪問列表只對源IP地址進行過濾。
擴展訪問控制列表不僅過濾源IP地址,還可以對目的IP地址、源埠、目的埠進行過濾
盡量把擴展ACL應用在距離要拒絕通信流量的來源最近的地方,以減少不必要的通信流量。
最好把標準的ACL應用在離目的地最近的地方
標準的ACL根據數據包的源IP地址來允許或拒絕數據包。
當配置訪問控制列表時,順序很重要。
標准訪問控制列表的應用與配置
擴展ACL中,命令access-list的完全語法格式如下:
Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-
-wildcard]
[operatoroperan][established][log]
access-list-number訪問控制列表表號100~199
permit|deny表示在滿足測試條件的情況下,該入口是允許還是拒絕後面指定地址的通信流量
protocol用來指定協議類型,如IP/TCP/UDP/ICMP/GRE/IGRP
sourcedestination源和目的,分別用來標識源地址和目的地址
source-wildcard、destination-wildcard---反碼
operatoroperan---lt(小於)、gt(大於)、eq(等於)、neq(不等於)、和一個埠號
esablished------如果數據包使用一個已建立連接。便可以允許Tcp信息量通過
例如:
拒絕所有從172.16.4.0到172.16.3.0的ftp通信流量通過E0
1.創建ACL
Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq21
Router(config)#access-list101permitipanyany
2.應用到介面上
Router(config)#interfacefastethernet0/0
Router(config-if)#ipaccess-group101out
拒絕來自指定子網的Telnet通信流量
Router(config)#access-list101denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23
Router(config)#access-list101permitipanyany
應用到介面:
Router(config)#interfacefastethernet0/0
Router(config-if)#ipaccess-group101out
命名訪問控制列表
可以使用一個字母數字組合的字元代替前面所使用的數字來表示ACL,稱為命名ACL
可以在下列情況下使用命名ACL
需要通過一個字母數字串組成的名字來直觀的表示特定的ACL
對於某一方面給定的協議,在同一路由器上,有超過99個的標准ACL或者有超過100個的擴展ACL需要配置
命名ACL時,應該注意
IOS11.2以前的版本不支持命名ACL
不能用同一個名字命名多個ACL.另外.不同類型的ACL命名不能使用相同的名字.
命名IP訪問列表允許制定的訪問列表刪除單個條目.
給ACL命名的命令語法如下:
Router(config)#ipaccess-list{standard|extended}name
命名訪問控制列表下,permit和deny命令的語法格式與前述的有所不同:
Router(config{std|ext}-nacl)#{permit|deny}{source[source-wildcarcd]|any}{test
conditions}[log]
刪除時命令前面加no
例如
拒絕通過E0口從172.16.4.0到172.16.3.0的telnet通信流量而允許其他的通信流量
(1)創建名為jie的命名訪問控制列表
Router(config)#ipaccess-listextendedcisco
(2)指定一個或多個Permit及deny條件
Router(config-ext-nacl)#denytcp172.16.4.00.0.0.255172.16.3.00.0.0.255eq23
Router(config-ext-nacl)#permitipanyany
(3)應用到介面E0的出方向
Router(config)#interfacefastethernet0/0
Rouer(config-if)#ipaccess-groupjieout
(4)查看ACL列表
showipinterface
(5)顯示所有Acl的內容。
showaccess-list