标准访问控制列表配置命令
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
思科ACL访问控制列表常规配置操作详解
思科ACL访问控制列表常规配置操作详解本⽂实例讲述了思科ACL访问控制列表常规配置操作。
分享给⼤家供⼤家参考,具体如下:⼀、ACL概述ACL (Access Control List,访问控制列表)是⼀系列运⽤到路由器接⼝的指令列表。
这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据⼀定的规则进⾏,如源地址、⽬标地址、端⼝号等。
ACL使得⽤户能够管理数据流,检测特定的数据包。
路由器将根据ACL中指定的条件,对经过路由器端⼝的数据包进⾏检査。
ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进⾏过滤。
ACL在路由器的端⼝过滤数据流,决定是否转发或者阻⽌数据包。
ACL应该根据路由器的端⼝所允许的每个协议来制定,如果需要控制流经某个端⼝的所有数据流,就需要为该端⼝允许的每⼀个协议分别创建ACL。
例如,如果端⼝被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建⾄少3个ACL, 本⽂中仅讨论IP的访问控制列表。
针对IP协议,在路由器的每⼀个端⼝,可以创建两个ACL:—个⽤于过滤进⼊(inbound)端⼝的数据流,另⼀个⽤于过滤流出(outboimd)端⼝的数据流。
顺序执⾏:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。
当路由器在决定是否转发或者阻⽌数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满⾜某⼀个指令条件。
当检测到某个指令条件满⾜的时候,就执⾏该指令规定的动作,并且不会再检测后⾯的指令条件。
ACL作⽤: * 限制⽹络流量,提⾼⽹络性能。
* 提供数据流控制。
* 为⽹络访问提供基本的安全层。
⼆、ACL 类型1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进⾏过滤。
2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使⽤源地址和⽬标地址作为过滤条件,还可以针对不同的协议、协议的特征、端⼝号、时间范围等过滤。
路由器访问控制列表(ACL)
从PC0访问服务器210.31.224.11上运行的Telnet服务,无法访问
从PC2访问服务器210.31.224.11上运行的Telnet服务
从PC0访问服务器210.31.224.11上运行的WWW服务,结果正常
从PC2访问服务器210.31.224.11上运行的WWW服务,结果正常
access-list 101 deny ip any any
除以上语句规定外的所有数据包都被被禁止(丢弃)。
interface FastEthernet0/0
进入接口配置模式。
ip access-group 101 out
定义访问控制组命令,将定义好的101号访问控制列表应用到路由器Router1的以太网接口FastEthernet0/0,对输出的数据包进行过滤。
允许源自210.31.255.0/24网段的、以TCP协议方式访问服务器210.31.224.11上运行的Telnet服务。
access-list 101 permit tcp 210.31.226.00.0.0.255 host 210.31.224.11 eq WWW
或:access-list 101 permit tcp 210.31.255.00.0.0.255 host 210.31.224.11 eq 80
8、在Router0的全局配置模式下输入访问控制列表命令:access-list 1 deny any,禁止所有其他主机。
9、在Router0的全局配置模式下输入命令:int f0/0,进入接口配置模式下。
10、在Router0的接口配置模式下输入访问控制组命令:ip access-group1 in,设置在接口FastEthernet0/0的入站方向按1号访问控制列表对数据包进行过滤。
cisco路由器配置12标准访问控制列表
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
后面的in|out用于控制列表生效的方向(过滤),access-list-number:标识要调用的控制列表的标识号。
access-class access-list-number {in|out}
解答:限制acl内为vty连接设定限制进出方向(和上一条指令类似,这条指令用来对vty虚拟远程登录接口接口进行调用控制列表,同理使用这条指令前需要先进入虚拟接口进程才行)
destination:目的地址ip
destination-wildcard:目的地址通配符
established:(eq|gt|lt)
log:目标端口(established log在一起表示一个端口范围)
一般使用方法例:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
如果没有配置,序列号自动从10以10为单位递增
“no”命令删除特定的访问列表
ip access-group name {in|out}
解答:在某端口上应用访问列表(命名的)(此条命令应该在进入某端口后使用)
show access-lists {access-list number|name}
标准访问控制列表配置
13。
标准访问列表的实现一.实训目的1。
理解标准访问控制列表的概念和工作原理.2。
掌握标准访问控制列表的配置方法.3。
掌握对路由器的管理位置加以限制的方法.二.实训器材及环境1.安装有packet tracer5.0模拟软件的计算机。
2.搭建实验环境如下:三.实训理论基础1.访问列表概述访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。
访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段.2.访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3.ACL的相关特性每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。
ACL语句包括两个动作,一个是拒绝(deny)即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。
在路由选择进行以前,应用在接口进入方向的ACL起作用。
在路由选择决定以后,应用在接口离开方向的ACL起作用。
每个ACL的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句.4.ACL转发的过程5.IP地址与通配符掩码的作用规32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配。
访问控制列表(ACL)总结配置与应用
Router(config)#no access-list access-list-number 注意:对于扩展 ACL 来说,不能删除单条 ACL 语法,只能删除整个 ACL,这 意味着如果要改变一条或多条 ACL 语句,必须删除整个 ACL,然后输入所要的 ACL。
5
标准 ACL 配置实例
如图:要求配置标准 ACL 实现禁止主机 PC1 访问主机 PC2,而允许其他所有流量
3
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 路由器对进入的数据包先检查入访问控制列表,对允许传输的数据包才查询路由
表,而对于外出的数据包先查询路由表,确定目标后才查看出访问控制列表。因此应该 尽量把访问控制列表应用入站方向,因为它比应用到出站接口效率更高:将要丢弃的数 据包在路由器进行路由表查询处理之前就拒绝掉。 应用在哪台路由器上。
R1#show access-lists
Extended IP access list 101 10 permit tcp host 192.168.1.2 host 192.168.4.2 eq www 20 deny ip host 192.168.1.2 host 192.168.4.2
6
R1#show running-config
由于标准 ACL 只能根据源地址过滤数据包,如果应用在路由器 R1 或 R2 的入站 接口,那 PC1 不仅不能访问 PC2,而且不能访问 192.168.4.0,二应用在 R3 的入接口 接可以实现。
2、 配置标准 ACL 并应用到接口上
R3(config)#access-list 1 deny host 192.168.1.2 R3(config)#access-list 1 permit any R3(config)#interface fastEthernet0/0 R3(config-if)#ip access-group 1 in
第七部分 访问控制列表的配置
deny tcp any any eq 80
允许地址任意的,使用协议为TCP,端口号为80的数据报通过。
说明:
在每个扩展ACLs中,最后一条规则隐含为deny ip any any,它表示拒绝任何IP数据报通过。
permitaddress wildcard
这条规则指定了允许源IP和指定的地址样式相匹配的数据包通过。如:permit 192.168.2.00.0.0.255。
address wildcard用于定义一种地址样式,wildcard称为通配符掩码,它是一个32位二进制数,它和address搭配指定了一种地址样式。其中和wildcard中“0”对应位要求匹配,和“1”对应的位忽略。
注意:permit规则只是定义了某种数据包可以通过,对于不满足规则的数据包不会拒绝,它们能否通过取决于后续的规则。
如:permit 192.168.2.00.0.0.255表示允许源IP为192.168.2.*格式的数据包通过,不满足此规则的数据包将继续判定下一条规则。
2、deny规则:
deny规则定义的是拒绝通过,也有三种格式。
注意:deny规则只是定义了拒绝某种数据包通过,对于不满足规则的数据包需要由后续规则处理。
3、隐含规则:
在每个标准ACLs中,最后一条规则隐含为deny any,这样,如果一个数据包的源IP地址没有和前面的permit规则相匹配,则这个数据包将被拒绝通过。
配置标号的标准ACLs
标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的标准ACLs配置。
第七部分访问控制列表的配置
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
标准访问控制列表配置命令一、拒绝PC0
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip access-list standard 1
Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 1 in
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
Router#write
二、拒绝192.168.0.0.网络
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#ip access-list standard 1
Router(config-std-nacl)#deny 192.168.0.0 0.0.0.255 Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 1 in
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router(config)#exit
Router#write。