扩展访问列表至少访问哪些项

发布时间: 2022-09-26 02:18:34

1. 路由器访问列表的设置

什么是访问列表

IP Access-list：IP访问列表或访问控制列表，简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略，保证内网安全权限的资源访问

内网访问外网时，进行安全的数据过滤

防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则（哪些数据允许通过，哪些数据不允许通过）；
2、将规则应用在路由器（或三层交换机）的接口上。

两种类型：
标准ACL（standard IP ACL）
扩展ACL （extended IP ACL）
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表（路由器和三层交换机支持）Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表（路由器、三层交换机和二层交换机支持）

2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表（路由器、三层交换机）
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL：
编号的扩展ACL （路由器和三层交换机支持）
Router(config)#access-list <100-199> { permit /deny }
协议源地址反掩码 [源端口] 目的地址反掩码 [ 目的端口 ]
命名的扩展ACL （路由器、三层交换机和二层交换机支持）
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议源地址反掩码 [源端口] 目的地址反掩码 [ 目的端口 ]
2.应用ACL到接口：
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表，定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段（absolute）
周期时间段（periodic）
混合时间段：先绝对，后周期
Router(config)# time-range time-range-name 给时间段取名，配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”
end time date：表示时间段的结束时间，格式与起始时间相同
示例：absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时（星期一至五）
Weekend 周末（星期六至日）

示例：periodic weekdays 09:00 to 18:00
3、关联ACL与时间段，应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name

验证访问列表和time-range接口配置
Router# show access-lists ！显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置

注：1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则：
从头到尾，至顶向下的匹配方式
匹配成功，则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过，即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称接口编号
一个端口在一个方向上只能应用一组ACL。

锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口，只能配置入栈应用(In)；
针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用。

访问列表的缺省规则是：拒绝所有。
对于标准ACL，应尽量将ACL设置在离目标网络最近的接口，以尽可能扩大源网络的访问范围。
对于扩展ACL，应尽量将ACL设置在离源网络最近的接口，以尽可能减少网络中的无效数据流。

2. 思科的基本访问控制列表和扩展访问列表的区别：

1：permit
ip
192.168.18.0
0.0.0.3
any
这条acl，允许192.168.18.1－192.168.18.3这个地址段的的主机出去。包含了permit
tcp
host
192.168.18.3
any
eq
www这条acl，所以18.1
18.2
18.3
都可以访问。
2：按从上到下执行的原则，
deny
tcp
any
any这条acl已经拒绝所有了，所以后边的
permit
ip
192.168.18.0
0.0.0.3
any不会再执行，一般把deny
any
any放在最后。

3. 路由器访问控制列表（ACL）的特性有哪些

网络安全保障的第一道关卡对于许多网管员来说，配置路由器的访问控制列表是一件经常性的工作，可以说，路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制，它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流，以制定公司内部网络的相关策略。这些策略可以描述安全功能，并且反映流量的优先级别。例如，某个组织可能希望允许或拒绝Internet对内部Web服务器的访问，或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形，以及其他的一些功能都可以通过访问表来达到目的。访问列表的种类划分目前的路由器一般都支持两种类型的访问表：基本访问表和扩展访问表。
1、基本访问表控制基于网络地址的信息流，且只允许过滤源地址。
2、扩展访问表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。

由于篇幅所限，本文只对标准访问列表和扩展访问列表进行讨论。标准IP访问表标准IP访问表的基本格式为：
access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log]
下面对标准IP访问表基本格式中的各项参数进行解释：
1.list number---表号范围
标准IP访问表的表号标识是从1到99。
2.permit/deny----允许或拒绝
关键字permit和deny用来表示满足访问表项的报文是允许通过接口，还是要过滤掉。permit表示允许报文通过接口，而deny表示匹配标准IP访问表源地址的报文要被丢弃掉。 3.source address----源地址
对于标准的IP访问表，源地址是主机或一组主机的点分十进制表示，如:198.78.46.8。
4.host/any----主机匹配
host和any分别用于指定单个主机和所有主机。host表示一种精确的匹配，其屏蔽码为0.0.0.0。例如，假定我们希望允许从198.78.46.8来的报文，则使用标准的访问控制列表语句如下:
access-list 1 permit 198.78.46.8 0.0.0.0
如果采用关键字host，则也可以用下面的语句来代替：
access-list 1 permithost 198.78.46.8
也就是说，host是0.0.0.O通配符屏蔽码的简写。
与此相对照，any是源地证/目标地址0.O.O.O/255.255.255.255的简写。假定我们要拒绝从源地址198.78.46.8来的报文，并且要允许从其他源地址来的报文，标准的IP访问表可以使用下面的语句达到这个目的:
access-list 1 deny host 198.78.46.8
access-list 1 permit any
注意，这两条语句的顺序;访问表语句的处理顺序是由上到下的。如果我们将两个语句顺序颠倒，将permit语句放在deny语句的前面，则我们将不能过滤来自主机地址198.78.46.8的报文，因为permit语句将允许所有的报文通过。所以说访问表中的语句顺序是很重要的,因为不合理语句顺序将会在网络中产生安全漏洞，或者使得用户不能很好地利用公司的网络策略。 5.wildcardmask------通配符屏蔽码
Cisco访问表功能所支持的通配符屏蔽码与子网屏蔽码的方式是刚好相反的，也就是说，二进制的O表示一个"匹配"条件，二进制的1表示一个"不关心"条件。假设组织机构拥有一个C类网络198.78.46.0，若不使用子网，则当配置网络中的每一个工作站时，使用于网屏蔽码255.255.255.O。在这种情况下，1表示一个 "匹配"，而0表示一个"不关心"的条件。因为Cisco通配符屏蔽码与子网屏蔽码是相反的，所以匹配源网络地址198.78.46.0中的所有报文的通配符屏蔽码为:0.0.O.255。
6.Log----日志记录
log关键字只在IOS版本11.3中存在。如果该关键字用于访问表中，则对那些能够匹配访问表中的permit和deny语句的报文进行日志记录。日志信息包含访问表号、报文的允许或拒绝、源IP地址以及在显示了第一个匹配以来每5分钟间隔内的报文数目。使用log关键字，会使控制台日志提供测试和报警两种功能。系统管理员可以使用日志来观察不同活动下的报文匹配情况，从而可以测试不同访问表的设计情况。当其用于报警时，管理员可以察看显示结果，以定位那些多次尝试活动被拒绝的访问表语句。执行一个访问表语句的多次尝试活动被拒绝，很可能表明有潜在的黑客攻击活动。扩展的IP访问控制列表顾名思义，扩展的IP访问表用于扩展报文过滤能力。一个扩展的IP访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较等等。一个扩展的IP访问表的一般语法格或如下所示:

下面简要介绍各个关键字的功能:
1.list number----表号范围
扩展IP访问表的表号标识从l00到199。
2.protocol-----协议
协议项定义了需要被过滤的协议，例如IP、TCP、UDP、ICMP等等。协议选项是很重要的，因为在TCP/IP协议栈中的各种协议之间有很密切的关系，如果管理员希望根据特殊协议进行报文过滤，就要指定该协议。
另外，管理员应该注意将相对重要的过滤项放在靠前的位置。如果管理员设置的命令中，允许IP地址的语句放在拒绝TCP地址的语句前面，则后一个语句根本不起作用。但是如果将这两条语句换一下位置，则在允许该地址上的其他协议的同时，拒绝了TCP协议。
3.源端口号和目的端口号
源端口号可以用几种不同的方法来指定。它可以显式地指定，使用一个数字或者使用一个可识别的助记符。例如，我们可以使用80或者http来指定Web的超文本传输协议。对于TCP和UDP，读者可以使用操作符 "<"(小于)、">"(大于)"="(等于)以及""(不等于)来进行设置。
目的端口号的指定方法与源端口号的指定方法相同。读者可以使用数字、助记符或者使用操作符与数字或助记符相结合的格式来指定一个端口范围。
下面的实例说明了扩展IP访问表中部分关键字使用方法:
access-list 101 permit tcp any host 198.78.46.8 eq smtp
access-list 101 permit tcp any host 198.78.46.3 eq www
第一个语句允许来自任何主机的TCP报文到达特定主机198.78.46.8的smtp服务端口(25);第二个语句允许任何来自任何主机的TCP报文到达指定的主机198.78.46.3的www或http服务端口(80)。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any ?
eq Match only packets on a given port number
<cr>
log Log matches against this entry
Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log
4.选项
扩展的IP访问表支持很多选项。其中一个常用的选项有log，它已在前面讨论标准访问表时介绍过了。另一个常用的选项是established，该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能，使用established选项的访问表语句检查每个 TCP报文，以确定报文的ACK或RST位是否已设置。
例如，考虑如下扩展的IP访问表语句:
access-list 101 permit tcp any host 198.78.46.8 established
该语句的作用是:只要报文的ACK和RST位被设置，该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机198.78.46.8此前必须发起TCP会话。 5.其他关键字
deny/permit、源地址和通配符屏蔽码、目的地址和通配符屏蔽码以及host/any的使用均与标准IP访问表中的相同。
表2是对部分关键字的具体解释。
表 2：
管理和使用访问表在一个接口上配置访问表需要三个步骤：
(1)定义访问表;
(2)指定访问表所应用的接口;
(3)定义访问表作用于接口上的方向。
我们已经讨论了如何定义标准的和扩展的IP访问表，下面将讨论如何指定访问表所用的接口以及接口应用的方向。
一般地，采用interface命令指定一个接口。例如，为了将访问表应用于串口0，应使用如下命令指定此端口:
interface serial0
类似地，为将访问表应用于路由器的以太网端口上时，假定端口为Ethernet0，则应使用如下命令来指定此端口：
interface ethernet0
在上述三个步骤中的第三步是定义访问表所应用的接口方向，通常使用ip access-group命令来指定。其中，列表号标识访问表，而关键字in或out则指明访问表所使用的方向。方向用于指出是在报文进入或离开路由器接口时对其进行过滤。如下的实例将这三个步骤综合在一起： intface serial0
ip access-group 107 in
access-list 107 remark allow traffic to tom's pc
access-list 107 ip any host 198.78.46.8
access-list 107 remark allow only web traffic to webserver
access-list 107 tcp any host 198.78.46.12 eq 80
access-list 107 remark block everything else
access-list 107 deny any any
在本例中，先使用interface命令指定串行端口0，并使用ipaccess-group命令来将访问表l07中的语句应用于串行接口的向内方向上。最后，输入6个访问表语句，其中三条访问表语句使用关键字remark

4. 扩展的访问控制列表，可以采用以下哪几个来允许或者拒绝报文

路由器里面有限制ip/mac的选项，如果开启了这个选项，那么只有该列表下的ip/mac才可以访问网络，其它访客需要管路员把该设备加进该列表才能访问网络。我就是这么做的，比人就算接到路由器上也不能访问网络，没有路由器的密码也不能更改，所以看起来你连上了，但是没有权限。如果是自己家里的路由器，进去把有关无线设置方面的选项看下一般的勾都给他去掉，防火墙关了，安全方面可以设置个密码。

5. 简述标准和扩展访问控制列表的工作过程

咨询记录 · 回答于2021-07-19

6. 访问控制列表有哪几种类型,分别在哪个位置

分类

1、标准IP访问列表

一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2、扩展IP访问

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

3、命名的IP访问

所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表，同样包括标准和扩展两种列表，定义过滤的语句与编号方式中相似。

4、标准IPX访问

标准IPX访问控制列表的编号范围是800-899，它检查IPX源网络号和目的网络号，同样可以检查源地址和目的地址的节点号部分。

5、扩展IPX访问

扩展IPX访问控制列表在标准IPX访问控制列表的基础上，增加了对IPX报头中以下几个字段的检查，它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。

6、命名的IPX访问

与命名的IP访问控制列表一样，命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表，同样有标准和扩展之分。

(6)扩展访问列表至少访问哪些项扩展阅读

访问控制列表的使用

ACL的使用分为两步：

(1)创建访问控制列表ACL，根据实际需要设置对应的条件项；

(2)将ACL应用到路由器指定接口的指定方向(in/out)上。

在ACL的配置与使用中需要注意以下事项：

(1)ACL是自顶向下顺序进行处理，一旦匹配成功，就会进行处理，且不再比对以后的语句，所以ACL中语句的顺序很重要。应当将最严格的语句放在最上面，最不严格的语句放在底部。

(2)当所有语句没有匹配成功时，会丢弃分组。这也称为ACL隐性拒绝。

(3)每个接口在每个方向上，只能应用一个ACL。

(4)标准ACL应该部署在距离分组的目的网络近的位置，扩展ACL应该部署在距离分组发送者近的位置。

7. 标准访问控制列表和扩展的访问控制列表有什么区别

1、概念不同

标准访问控制列表：根据数据包的源IP地址允许或拒绝数据包。

扩展访问控制列表：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志允许或拒绝数据包。

2、应用接口不同

标准访问控制列表：尽量应用在靠近在目的地址的接口。

扩展访问控制列表：尽量应用在靠近在源地址的接口。

3、表号不同

标准访问控制列表：访问控制列表号是1-99。

扩展访问控制列表：访问控制列表号是100-199。

(7)扩展访问列表至少访问哪些项扩展阅读：

访问控制列表的应用：

1、允许、拒绝数据包通过路由器。

2、允许、拒绝Telnet会话的建立。

3、没有设置访问列表时，所有的数据包都会在网络上传输。

4、基于数据包检测的特殊数据通讯应用。

8. ip扩展访问列表的数字标示范围是多少

IP扩展访问列表的数字标示范围是(100~199)。

访问控制列表这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

(8)扩展访问列表至少访问哪些项扩展阅读

扩展访问列表至少访问哪些项

与扩展访问列表至少访问哪些项相关的资讯