设为首页 收藏本站
云服务器等爆品抢先购,低至4.2元/月
查看: 2242|回复: 0

[经验分享] CCNA学习笔记13-IP访问控制列表

[复制链接]

尚未签到

发表于 2016-6-6 03:47:36 | 显示全部楼层 |阅读模式
access control list(ACL)   -访问列表


为什么要使用访问列表
管理网络中逐渐增长的IP数据
当数据通过路由器时进行过滤


访问列表的应用
允许,拒绝数据包通过路由器
允许,拒绝Telnet会话的建立
没有设置访问列表时,所有的数据包都会在网络上传输


访问列表的其他应用
优先级判断
按需拨号
路由表过滤
基于数据包检测的特殊数据通讯应用


什么是访问列表-标准
-标准(一般基于IP,对收到数据包的源地址进行检查,如果发现源地址匹配访问控制列表,那么进行转发,如果不匹配,那么数据包将被进行丢弃)
检查源地址(IP地址)
通常允许,拒绝的是完整的协议
-扩展(基于协议进行匹配,根据端口号也可以进行匹配)
检查源地址和目标地址
通常允许,拒绝的是某个特定的协议
-进方向和出方向(相对的)


访问列表的测试:允许和拒绝
收到数据包->判断路由表有没有这个条目->没有,直接丢弃
->有查看相关联的接口有没有设置访问控制列表
->没有,直接转发出去
->有,对访问控制列表的陈述进行匹配->不符合,直接丢弃,并发送给源,条件不匹配
->符合,允许转发出去


访问列表配置指南
访问列表的编号指明了使用何种协议的访问列表
每个端口,每个方向,每条协议只能对应一条访问列表
访问列表的内容决定了数据的控制顺序
具有严格限制条件的语句应放在访问列表所有语句的最上面
在访问列表的最后一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
先创建访问列表,然后应用到端口上
访问列表不能过滤路由器自己产生的数据


访问列表设置命令
1.设置访问列表测试语句的参数
access-list access-list-number {permit|deny} {test conditions}
2.在端口上应用访问列表
{protocol} access-group access-list-number {in|out}
IP访问列表的标号为1~99和100~199


如何识别访问列表号
访问列表类型       编号范围
IP  standard       1-99
Extended      100-199
标准访问列表(1 to 99)检查IP数据包的源地址
扩展访问列表(100 to 199)检查源地址和目的地址,具体的TCP/IP协议和目的端口
访问列表类型       编号范围
Standard       1-99   1300-1999
Named         Name(Cisco IOS 11.2 and later)
Extend        100-199 2000-2699
Named         Name(Cisco IOS 11.2 and later)
标准访问列表检查IP数据包源地址
扩展访问列表检查源地址和目的地址,具体的TCP/IP协议和目的端口
其他访问列表编号范围表示不同协议的访问列表


标准IP访问列表的配置
access-list access-list-number {permit|deny} source [mask]
为访问列表设置参数
IP标准访问列表编号1到99
缺省地通配符掩码=0.0.0.0
"no access-list access-list-number"命令删除访问列表
ip access-group access-list-number {in|out}
在端口上应用访问列表
指明是进方向还是出方向
缺省=出方向
"no ip access-group access-list-number"命令在端口上删除访问列表


通配符掩码指明特定的主机
Test conditions:Check all the address bits(match all)
例如 172.30.16.29 0.0.0.0 检查所有的地址位
所有主机:0.0.0.0 255.255.255.255
可以用any简写
可以简写为host(host 172.30.16.29)


用访问控制列表控制vry访问(一般为telnet会话)
在路由器上过滤vty
五个虚拟通道(0~4)
路由器的vty端口可以过滤数据
在路由器上执行vty访问的控制


如何控制vty访问
使用标准访问列表语句
用access-class命令应用访问列表
在所有vty通道上设置相同的限制条件


虚拟通道的命令
指明vty通道的范围
line vty#{vty#vty-range}
在访问列表里面指明方向
access-class access-list-number {in|out}


虚拟通道访问举例
access-list 12 permit 192.89.55.0 0.0.0.255
!
line vty 0 4
access-class 12 in
只允许网络192.89.55.0内的主机连接路由器的vty通道


标准访问列表和扩展访问列表比较
标准                    扩展
基于源地址             基于源地址和目标地址
允许和拒绝完整的TCP/IP协议     指定TCP/IP的特定协议和端口号
编号范围1-99和1300-1999       编号范围100-199和2000-2699


扩展IP访问列表的配置


设置访问列表的参数
access-list access-list-number {permit|deny} protocol source
source-wildcard [operator port] destination destination-wildcard
[operatoe port] [established] [log]


在端口上应用访问列表
ip access-group access-list-number {in|out}


扩展访问列表应用举例1
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0的数据使用路由器e0口ftp到子网172.16.3.0
允许其他数据


扩展访问列表应用举例2
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list permit ip any any
interface ethenet 0
ip access-group 101 out
拒绝子网172.16.4.0内的主机使用路由器的E0端口建立telnet会话
允许其他数据


查看访问列表的语句
查看特定协议访问控制列表
show {protocol} access-list {access-list number}
查看所有协议访问控制列表
show access-lists {access-list number}

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-226680-1-1.html 上篇帖子: CCNA实验二十五 实战多种ACL访问控制 下篇帖子: CCNA学习笔记12-使用VLAN扩展交换网络
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表