标准ACL
Step 2: 在端口上应用访问列表
Router(config-if)# { protocol } access-group access-list-number {in | out}
IP 访问列表的标号为 1-99 和 100-199
9
配置标准访问控制列表Example 1
172.16.3.0 E0
❖RouterB(config)#access-list 2 deny 192.168.1.3 0.0.0.0//或者access-list 1 deny host 192.168.1.3
❖RouterB(config)#access-list 2 permit any
❖RouterB(config)# int gi0/0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 permit 172.16.0.0 0.0.255.255
(implicit deny all - not visible in the list)
(access-list 1 deny 0.0.0.0 255.255.255.255)
没有设置访问列表时,所有的数据包都会在网络上传输
3
二、ACL的分类
访问列表类型
编号范围
标准ACL 扩展ACL 命名ACL
1-99 100-199 Name (Cisco IOS 11.2 and later)
标准ACL – 检查IP数据包源IP地址
扩展ACL – 检查源IP地址,目的IP地址,源端口号和目的端口号 – 通常允许、拒绝的是某个特定的协议
Y
S0 Packet
Test Access List Statements
Outbound Interfaces
E0 PacketBiblioteka YPermit ?
N
Discard Packet
Packet Discard Bucket
Notify Sender
If no access list statement matches then discard the packet
访问控制列表(ACL) (Access Control List)
1
一、ACL概述
❖什么是ACL? ❖ACL的本质就是一系列对数据包过滤的条件 (规则)。 ❖例如:
a.192.168.2.0/24内主机能访问192.168.1.1/24 b.192.168.3.0/24内主机不能访问192.168.1.1/24
Step2:
interface ethernet 1 ip access-group 1 out
Permit 只允许本地网络的访问
interface ethernet 0
ip access-group 1 out
10
配置标准访问控制列表Example 2
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
19
❖查看ACL配置
RouterB#sh access-list RouterB#sh ip int gi0/0
4
三、ACL的特点
1. 按照顺序进行匹配,从第一行开始,然后第二行,第三行等; 2. 按照顺序查询匹配,符合条件后就不再继续匹配后面的条目; 3. 每个ACL列表最后都隐含一条拒绝的语句,所以每个ACL至少
包含一条 permit语句; 4. ACL用于过滤通过Router的流量,但不会过滤Router自身产生
❖RouterB(config-if)# ip access-group 2 out
用主机192.168.1.3ping200.2.2.2是否能通?主机192.168.1.2和主机192.168.2.3是否能ping通 200.2.2.2?(截图粘贴到实验报告)
RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
192.168.1.1/24
192.168.2.0/24
192.168.3.0/24
2
为什么使用访问控制列表?
172.16.0.0
Token Ring
Internet
FDDI
管理IP网络流量
172.17.0.0
当数据包经过Router时,对数据进行筛选
❖ 允许、拒绝数据包通过路由器
❖ 允许、拒绝Telnet会话的建立
Outgoing access list is not set Inbound access list is 1
Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text ommitted>
S0 E1
172.16.4.13
Step 1: access-list 1 deny 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255// access-list 1 permit any (implicit deny all) (access-list 1 deny 0.0.0.0 255.255.255.255) Step 2:
5
访问列表的测试:允许和拒绝
Packets to Interface(s) in the Access Group
Deny Deny
Deny
Packet Discard Bucket
Match First Test Y ?Y
N
Y
Match Next
Y
Test(s)
?
N
Permit Permit
Destination
Y Match Y Last
Permit
Interface(s)
Test
?
N Implicit
Deny
Deny
如果没有匹配项, 则拒绝
6
出端口方向上的访问列表
Inbound Interface Packets
Choose Interface
Y
Routing Table Entry
?
N
Access N List ?
access-list 1 permit any
(implicit deny all)
(access-list 1 deny 0.0.0.0 255.255.255.255)
Step 2: interface ethernet 0
Deny 一个特定子网
ip access-group 1 out
12
五、验证访问控制列表
18
③允许网络192.168.1.0来的数据包到达网络200.2.2.0
RouterB(config)#access-list 3 permit 192.168.1.0 0.0.0.255 RouterB(config)# int f0/0 RouterB(config-if)# ip access-group 3 out
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) RouterB#show ip int g0/0(截图)
④拒绝网络192.168.1.0来的数据包到达网络200.2.2.0
13
五、验证访问控制列表
router#show access-lists {access-list number}
router#show access-lists Standard IP access list 1
permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data
interface ethernet 0 ip access-group 1 out
Deny一个特定主机
11
配置标准访问控制列表Example 3
172.16.3.0 E0
Non-
172.16.0.0 172.16.4.0
S0 E1
172.16.4.13
Step 1:
access-list 1 deny 172.16.4.0 0.0.0.255
请自己设计ACL规则
用主机192.168.1.3和主机192.168.1.2ping200.2.2.2是否能通?主机 192.168.2.3是否能ping通200.2.2.2?(截图粘贴到实验报告) RouterB#sh access-list(截图) ③RouterB#show ip int g0/0(截图)
