cisco路由器配置12标准访问控制列表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cisco路由器使用访问控制列表进行数据包的访问控制,每条访问控制列表的信息都会有对数据包的控制信息,当
有数据包来到时,相应路由器接口上的访问控制列表就会在在控制列表里面寻找控制条件信息,只有满足相应条件的数据包才会被允许通过。
access-list access-list-number {permit|deny|remark} source [mask]
解答:添加一条访问控制列表信息
access-list-number:使用1到99作为某条控制列表信息的序列号(标识号)。
默认情况下第一条语句编号为10,后续语句编号以10为单位增加,
标准访问控制列表的通配符默认为0.0.0.0
no access-list access-list-number命令删除某个访问控制列表
remark命令允许对访问控制列表添加注释
permit:允许通过,deny:拒绝通过,remark:添加注释。
ip access-group access-list-number {in|out}
解答:这条命令用于在接口上调用控制列表(扩展的和非扩展的)。(这条命令应该在进入某个路由端口后才可使用)
后面的in|out用于控制列表生效的方向(过滤),access-list-number:标识要调用的控制列表的标识号。
access-class access-list-number {in|out}
解答:限制acl内为vty连接设定限制进出方向(和上一条指令类似,这条指令用来对vty虚拟远程登录接口接口进行调用控制列表,同理使用这条指令前需要先进入虚拟接口进程才行)
例:access-list 12 permit 192.168.1.0 0.0.0.255
line vty 0 4
access-class 12 in
这三条指令的目的是只允许192.168.1.0网段的所有主机通过vty线路远程登录本路由器。
扩展访问控制列表配置:
扩展访问控制列表是在标准控制列表上进行进一步功能完善和细分而来的,大体上功能和标准控制列表一样,只不过是更加完善。
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
解答:新加一条扩展类型的访问控制列表信息,并设置参数。
这条命令一般不会用的这么复杂
protocol:数据包协议类型(tcp,ip,udp,icmp等)
source:源地址ip
source-wildcard:源地址通配符
operator port:相应的地址收发数据的端口(一般不用写源端口,而目的端口应该写)
destination:目的地址ip
destination-wildcard:目的地址通配符
established:(eq|gt|lt)
log:目标端口(established log在一起表示一个端口范围)
一般使用方法例:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 permit ip any any
最后的established log组合在一起有三种形式:
gt x:大于x的所有端口
lt x:小于x的所有端口
eq x:等于端口x
命名的ip 访问控制
列表配置命令过程:
ip access-list {standard|extended} name
解答:命名访问控制列表,命名必须唯一。
standard:正常一般访问控制列表(表明要建立的控制列表的类型)
extended:扩展的访问控制列表(表明要建立的控制列表的类型)
[sequence-number] {permit|deny} {ip access list test conditions} {permit|deny} {ip access list test conditions}
如果没有配置,序列号自动从10以10为单位递增
“no”命令删除特定的访问列表
ip access-group name {in|out}
解答:在某端口上应用访问列表(命名的)(此条命令应该在进入某端口后使用)
show access-lists {access-list number|name}
解答:查看当前的访问控制列表信息(后面可以跟参数也可以不跟),跟参数则可以查看具体到某一个控制列表的信息