访问控制列表
控制主机访问个数
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
访问控制列表的类型:
标准访问控制列表 基于源IP地址过滤数据包 列表号是1~99
扩展访问控制列表 基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 列表号是100~199
命名访问控制列表 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
标准化访问控制列表
全局:access-list 列表号 deny 192.168.1.1 0.0.0.0 反子网掩码 针对一个主机
全局:access-list 列表号 permit 192.168.1.0 0.0.0.255 反子网掩码 针对一个网段
255.255.255.255 减 对应网络子网掩码
通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。
例:192.168.1.0/24子网掩码是255.255.255.0,其反码可以通过255.255.255.255减去255.255.255.0得到0.0.0.255
隐含拒绝语句:access-list 1 deny 0.0.0.0 255.255.255.255
0.0.0.0代表任意网络 255.255.255.255 等同于any效果
全局:access-list 列表号 deny host 192.168.1.1 针对一个主机
全局:access-list 列表号 permit any针对一个网段
扩展访问控制列表
将ACL应用与接口
接口模式:ip access-group 列表号 in或out
全局:access-list 100 deny tcp host 192.168.1.1 host 192.168.4.1 eq 80 拒绝访问TCP 80端口
全局:access-list 100 permit ip host 192.168.1.1 host 192.168.4.1
全局:access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
全局:interface fastehternet 0/0
全局:ip access-group 100 in
全局: access-list 101 deny ip any any 拒绝所有
全局:access-list 101 permit ip any any(允许访问所有)
access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
(拒绝192.168.1.0 ping 192.168.2.2)
eq等于、lt小于、gt大于、neq不等于
删除已建立的访问控制列表
全局:no access-list 列表号
No 删除一条 其他命令全部没有
注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。
接口上取消ACL 接口模式取消:no access-list group in 或out
访问控制列表
Show access-lists
命名访问控制列表
命名访问控列表的ACL语句默第一条为10,第二条为20,依此类推。
命名ACL可以删除单条ACL语句,而不必删除整个ACL。并且命名ACL语句可以有选择的插入到列表中的某个位置,使得ACL配置更加方便灵活。
全局:ip access-list extended XXX (名字)
Permit ip XXX.XXX.XXX.0 0.0.0.255 host XXX.XXX.XXX.XXX
Deny ip host XXX.XXX.XXX.XXX host XXX.XXX.XXX.XXX
数字 Deny ip host XXX.XXX.XXX.XXX host XXX.XXX.XXX.XXX 排序
标准命名ACL的配置
全局:ip access-list standard 名字(只能是字母)
Permit host 192.168.1.1
Deny any
接口模式:ip access-group 名字in或out
1 标准访问控制列表的序号范围
A. 1-99
B. 10-90
C. 100-199
D. 以上都不对
参考答案
序号范围为A 选项。
这是因为,标准访问控制列表的序号范围只能是1-99。
2 请描述访问控制列表有哪三种类型
参考答案
标准访问控制列表
扩展访问控制列表
命名访问控制列表
3 请描述扩展访问控制的作用及列表号
参考答案
作用:
可以根据源IP地址,目的IP地址,指定协议,端口等过滤数据包。
扩展访问控制列表号:
100-199
4 请简要描述访问控制列表的处理过程
参考答案
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
5 扩展访问控制列表配置
tarena公司的路器现配有标准访问控制列表,列表号为1,现因公司不允行所有员工都能访FTP服务,公司具体要求仅允许业务部员工访问FTP服务器(服务器IP为192.168.2.1),业务部员工计算机IP为192.168.1.0/24的网络,拒绝其他所有部门员工访问此服务器的任何服务,应如何添加访问控制列表条目。
参考答案
实现此案例需要按照如下步骤进行。
步骤一:删除标准访问控制列表
首先进入全局配置模式删除标准访问控制列表1:
- Router(config)#no access-list 1
Router(config)#no access-list 1
步骤二:添加扩展访问控制列表
根据题目要求在全局配置模式添加扩展访问控制列表:
- Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.1 0.0.0.0 eq 21
- Router(config)#access-list 100 deny ip any host 192.168.2.1
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.1 0.0.0.0 eq 21
Router(config)#access-list 100 deny ip any host 192.168.2.1
来源:CSDN
作者:Rio520
链接:https://blog.csdn.net/Rio520/article/details/81148727