路由访问列表

A. 路由器访问控制列表（ACL）的特性有哪些

网络安全保障的第一道关卡 对于许多网管员来说，配置路由器的访问控制列表是一件经常性的工作，可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形，以及其他的一些功能都可以通过访问表来达到目的。 访问列表的种类划分 目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。
1、基本访问表控制基于网络地址的信息流，且只允许过滤源地址。
2、扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。

由于篇幅所限，本文只对标准访问列表和扩展访问列表进行讨论。 标准IP访问表 标准IP访问表的基本格式为：
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面对标准IP访问表基本格式中的各项参数进行解释：
1.list number---表号范围
标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝
关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。 3.source address----源地址
对于标准的IP访问表，源地址是主机或一组主机的点分十进制表示，如:198.78.46.8。
4.host/any----主机匹配
host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为0.0.0.0。例如，假定我们希望允许从198.78.46.8来的报文，则使用标准的访问控制列表语句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果采用关键字host，则也可以用下面的语句来代替：
access-list 1 permithost 198.78.46.8
也就是说，host是0.0.0.O通配符屏蔽码的简写。
与此相对照，any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文，并且要允许从其他源地址来的报文，标准的IP访问表可以使用下面的语句达到这个目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意，这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒，将permit语句放在deny语句的前面，则我们将不能过滤来自主机地址198.78.46.8的报文，因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。 5.wildcardmask------通配符屏蔽码
Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的，也就是说，二进制的O表示一个"匹配"条件，二进制的1表示一个"不关心"条件。假设组织机构拥有一个C类网络198.78.46.0，若不使用子网，则当配置网络中的每一个工作站时，使用于网屏蔽码255.255.255.O。在这种情况下，1表示一个 "匹配"，而0表示一个"不关心"的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的，所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。
6.Log----日志记录
log关键字只在IOS版本11.3中存在。如果该关键字用于访问表中，则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字，会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况，从而可以测试不同访问表的设计情况。当其用于报警时，管理员可以察看显示结果，以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝，很可能表明有潜在的黑客攻击活动。 扩展的IP访问控制列表 顾名思义，扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:

下面简要介绍各个关键字的功能:
1.list number----表号范围
扩展IP访问表的表号标识从l00到199。
2.protocol-----协议
协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。
另外，管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。
3.源端口号和目的端口号
源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP，读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。
目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。
下面的实例说明了扩展IP访问表中部分关键字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.选项
扩展的IP访问表支持很多选项。其中一个常用的选项有log，它已在前面讨论标准访问表时介绍过了。另一个常用的选项是established，该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能，使用established选项的访问表语句检查每个 TCP报文，以确定报文的ACK或RST位是否已设置。
例如，考虑如下扩展的IP访问表语句:
access-list 101 permit tcp any host 198.78.46.8 established
该语句的作用是:只要报文的ACK和RST位被设置，该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机198.78.46.8此前必须发起TCP会话。 5.其他关键字
deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。
表2是对部分关键字的具体解释。
表 2：
管理和使用访问表 在一个接口上配置访问表需要三个步骤：
(1)定义访问表;
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
我们已经讨论了如何定义标准的和扩展的IP访问表，下面将讨论如何指定访问表所用的接口以及接口应用的方向。
一般地，采用interface命令指定一个接口。例如，为了将访问表应用于串口0，应使用如下命令指定此端口:
interface serial0
类似地，为将访问表应用于路由器的以太网端口上时，假定端口为Ethernet0，则应使用如下命令来指定此端口：
interface ethernet0
在上述三个步骤中的第三步是定义访问表所应用的接口方向，通常使用ip access-group命令来指定。其中，列表号标识访问表，而关键字in或out则指明访问表所使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将这三个步骤综合在一起： intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中，先使用interface命令指定串行端口0，并使用ipaccess-group命令来将访问表l07中的语句应用于串行接口的向内方向上。最后，输入6个访问表语句，其中三条访问表语句使用关键字remark

B. 路由器使用名字标识访问控制列表的配置方法

给计算机A设置IP为192.168.1.2，子网掩码为255.255.255.0，网关为192.168.1.1
2
给计算机B设置IP为192.168.2.2，子网掩码为255.255.255.0，网关为192.168.2.1
3
给计算机C设置IP为192.168.3.2，子网掩码为255.255.255.0，网关为192.168.3.1
4
给路由A0/0端口配置IP为192.168.2.1，子网掩码为255.255.255.0，开启端口
5
给路由A1/0端口配置IP为192.168.4.1，子网掩码为255.255.255.0，开启端口
6
给路由A6/0端口配置IP为192.168.1.1，子网掩码为255.255.255.0，开启端口
7
给路由B0/0端口配置IP为192.168.3.1，子网掩码为255.255.255.0，开启端口
8
给路由B1/0端口配置IP为192.168.4.2，子网掩码为255.255.255.0，开启端口
9
给路由A配置静态路由跳转，命令如下：
Router(config#)iproute 192.168.3.0 255.255.255.0 192.168.4.2

10
给路由B配置静态路由跳转，命令如下：
Router(config-if)#iproute 192.168.1.0 255.255.255.0 192.168.4.1
Router(config-if)#iproute 192.168.2.0 255.255.255.0 192.168.4.1

11
测试全网是否连通，分别用计算机A跟计算机B去ping计算机C，以下是截图：
可以看到，全网已经连通！

END
步骤二：配置访问控制列表

创建一个命令为gd0668seo的路由控制表，具体命令如下：
Router(config)#ipaccess-list standard gd0668seo
Router(config-std-nacl)#deny192.168.1.0 0.0.0.255
Router(config-std-nacl)#permit192.168.2.0 0.0.0.255
Router(config-std-nacl)#exit
以下是截图：

进入路由A的1/0端口，使用gd0668seo这个表！具体命令如下：
Router(config)#interfas 1/0
Router(config-if)#ipaccess-group gd0668seo out
Router(config-if)#exit
以下是截图：

3
测试路由控制列表是否生效了，如果生效了的话那么用计算机A去ping计算机C是ping不通的；而用计算机B去ping计算机C却能ping通的！以下是截图！
这样，路由的控制访问列表就配置完成了！

C. 设置登录路由器访问列表中 access-class 30 in 什么意思

禁止192.168.1.0网络地址进入路由器，其它的网段允许进入路由器

IP Access-list：IP访问列表或访问控制列表，简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略，保证内网安全权限的资源访问

内网访问外网时，进行安全的数据过滤

防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则（哪些数据允许通过，哪些数据不允许通过）；
2、将规则应用在路由器（或三层交换机）的接口上。

两种类型：
标准ACL（standard IP ACL）
扩展ACL （extended IP ACL）
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表（路由器和三层交换机支持）Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表（路由器、三层交换机和二层交换机支持）

D. 怎样在家用路由器中设置可以访问的网站列表

一般小厂的家用路由器不支持这种功能。像TP-Link等知名厂家的家用路由器会支付这种功能。
可以进入路由器设置界面，安全设置这一类中，查找一下有没有IP过滤和域名过滤（网址过滤）。如果有，添加相应的过虑规则就可以了。
例如在域名过滤一栏中添加一项“sina.com.cn”设置为“允许”，则说明用户除了可以访问新浪之外，不能访问其他网站。
如果在域名过滤一栏中添加一项“sina.com.cn”设置为“不允许”，则说明用户除了不能访问新浪之外，其他网站都能访问。

E. 路由器的访问控制列表是怎样设置的

在路由上建若干个访问控制列表（ACL），然后配置好后把它们应用到相应端口，就能实现你的要求。
扩展型的ACL可以实现限制某些IP地址的某些服务或端口的拦截，比如电子邮件，FTP之类都是可以限制的，只能访问某一站点也是可以实现的，只允许它们访问限定的IP就行了。
具体的就是TELNET到你路由的接口，然后打命令去。具体命令想解释清楚就太长了。。。也不知道你什么情况没法细说。
限制改IP也很容易实现，如果你用的WINDOWS的话，只要设置权限就行了。具体的到“本地安全策略”里设，点
开始-运行-输入“gpedit.msc”
在“本地策略”的“用户权利指派”里有各用户组的权利分配。如果对用户组做调整，用“组策略”-开始-运行-“gpedit.msc”
可以把用户划分到不同的组以分配权限。

F. 路由器在特权用户模式下访问控制列表

deny any (1581 matches) 拒绝任何（1581个匹配项）

在一台Cisco路由器上执行show access-list命令显示如下一组限制远程登录的访问控制列表信息
standard IP access list 40
permit 167.112.75.89 (54 matches)
permit 202.113.65.56 (12 matches)
deny any (1581 matches)
根据上述信息，正确的access-list的配置是______。

A．Router (config) #access-list 40 permit 167.112.75.89
Router (config) #access-list 40 permit 202.113.65.56
Router (config) #access-list 40 deny any
Router (config) #line vty0 5
Router (config-line) #access-class 40 in

G. 无线路由器的允许访问列表什么意思 有限制么

路由器里面有限制ip/mac的选项，如果开启了这个选项，那么只有该列表下的ip/mac才可以访问网络，其它访客需要管路员把该设备加进该列表才能访问网络。
我就是这么做的，比人就算接到路由器上也不能访问网络，没有路由器的密码也不能更改，所以看起来你连上了，但是没有权限。
如果是自己家里的路由器，进去把有关无线设置方面的选项看下一般的勾都给他去掉，防火墙关了，安全方面可以设置个密码。

H. 华为交换机配置vlan设定IP及路由做访问控制列表怎么做

首先有几个问题你没有说太明白，我只好做假设。
1，你所给的5个IP地址，是配置在S93上作为5个VLAN的网关来使用的吗？你没说明，我只能假设是。
2，还有你的VLAN是在S93上开始的吗？也就是说S93的接入口该是什么模式？你没说明，我只能假设开始于S93既交换机端口都是access模式。
3，设置静态路由则我们需要吓一跳地址和出接口，你没有给出。我只能做个假设。
好了配置开始。（接下来我写的是配置脚本，你可以直接复制使用，当然就没必要复制其中我用汉字进行说明的部分了）
首先配置VLAN
vlan 2
vlan 3
vlan 4
vlan 5
vlan 6 (一般使用VLAN不会用到VLAN1这是个莫用规则，因为VLAN1在所有设备上都存在，使用起来有诸多不便，还存在安全隐患）
vlan7（按照你的意思我猜测你的VLAN在此终结，也就是说上联口要有IP地址，而在93上IP地址是只能配在VLAN中而不能配在接口下的，所以将上联口的互联地址配置在此VLAN中，将上联口加入此VLAN即可）
interface vlanif 2
ip address 192.168.10.6 255.255.254.0(你没有给出掩码，经过我的计算只有255.255.254.0这个掩码能满足你现在过给的网段地址)
interface vlanif 3
ip address 192.168.20.6 255.255.254.0
interface vlanif 4
ip address 192.168.30.6 255.255.254.0
interface vlanif 5
ip address 192.168.40.6 255.255.254.0
interface vlanif 6
ip address 192.168.50.6 255.255.254.0
interface vlanif 7
ip address ?
interface gig 1/0/0
port link-type access (没做过S93的估计会指出这不用改，呵呵。事实上93上端口的默认状态是trunk所以没做过的 请闭嘴）
port default vlan 2
interface gig 1/0/1
port link-type access
port default vlan 3
interface gig 1/0/2
port link-type access
port default vlan 4
interface gig 1/0/3
port link-type access
port default vlan 5
interface gig 1/0/4
port link-type access
port default vlan 6
interface gig 1/0/5
port link-type access
port default vlan 7
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?(因为你没指明上联口互联地址我只能写？号，这里要写上联口的对端地址。）
ip route-static 10.126.80.20 0.0.0.0 gig 1/0/5 ?
接下来是访问控制，在93中访问控制列表只是工具不能直接在端口下调用。

acl 3001(要做基于目的地址和源地址的访控必须是高级访问控制列表，从3000开始
rule 0 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.20 0.0.0.0 (注意此处用的是反掩码）
rule 1 permit destinationg 192.168.10.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc1
if-match acl 3001
traffic behavior tb1
permit
traffic policy tp1
classifier tc1 behavior tb1
quit
acl 3002
rule 0 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.20.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc2
if-match acl 3002
traffic behavior tb2
permit
traffic policy tp2
classifier tc2 behavior tb2
quit
acl 3003
rule 0 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.30.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc3
if-match acl 3003
traffic behavior tb3
permit
traffic policy tp3
classifier tc3 behavior tb3
quit
acl 3002
rule 0 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.40.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny source any
traffic classifier tc4
if-match acl 3004
traffic behavior tb4
permit
traffic policy tp4
classifier tc4 behavior tb4
quit
acl 3005
rule 0 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.20 0.0.0.0
rule 1 permit destinationg 192.168.50.6 0.0.2.255 source 10.126.80.21 0.0.0.0
rule 2 deny any
traffic classifier tc5
if-match acl 3005
traffic behavior tb5
permit
traffic policy tp5
classifier tc5 behavior tb5
quit
acl 3006
rule 0 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 1 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 2 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 3 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 4 permit destinationg 10.126.80.20 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 5 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.10.6 0.0.2.255
rule 6 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.20.6 0.0.2.255
rule 7 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.30.6 0.0.2.255
rule 8 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.40.6 0.0.2.255
rule 9 permit destinationg 10.126.80.21 0.0.0.0 source 192.168.50.6 0.0.2.255
rule 10 deny any
traffic classifier tc6
if-match acl 3006
traffic behavior tb6
permit
traffic policy tp6
classifier tc6 behavior tb6
quit(注意访问控制列表应该是双向的不仅要控制回来还要控制出去注意绑定方向）
interface gig 1/0/0
traffic-policy tp1 outbound
interface gig 1/0/1
traffic-policy tp2 outbound
interface gig 1/0/2
traffic-policy tp3 outbound
interface gig 1/0/3
traffic-policy tp4 outbound
interface gig 1/0/4
traffic-policy tp5 outbound
interface gig 1/0/5
traffic-policy tp6 outbound
(配置完成，如果还有什么问题，可以问我。）

I. 怎样配置路由器的ACL命名访问控制列表

1.配置标准命名ACL：其中name就是要配置ACL名称，一般使用英文字母及数字组成
步骤一：配置标准命名ACL
Router(config)# ip access-list standard name
步骤二：在命名的ACL配置模式下输入相应的语句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步骤三：将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置扩展命名ACL:其中name就是要配置ACL名称，一般使用英文字母及数字组成
步骤一：配置扩展命名ACL
Router(config)# ip access-list extended name
步骤二：在命名的ACL配置模式下输入相应的语句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步骤三：将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}