访问控制列表

访问控制列表（Access-list）

作用：

1）对经过路由器的数据包进行放行/丢弃的操作

2）对路由器的管理平台（平面）进行保护

3）数据包的分类

4）过滤路由信息

5）按需拨号/远程连接/VPN的敏感数据流定义

ACL的分类：

1）标准（1-99）：只判断数据包来自什么地址（源IP地址）

2）扩展（100—199）：判断数据包来自什么地址，去什么地址，去干什么（判断源、目标IP 和服务）

应用层：http，ftp，smtp，pop3，dns，telnet，ssh，https，tftp，RIP

表示层：数据如何“翻译”成二进制（JPEG，ASCII)

会话层：管理两个系统之间的逻辑通信会话

传输层：定义了每种数据的传递方式（可靠/不可靠）

TCP：在传递数据之前建立双向通信的确认，同时在传递数据的过程中接收方确认接收到数据

http，ftp,smtp,pop3,telnet,ssh,https

UDP：发送方只要知道对方的地址，就发送数据

dns,tftp,RIP

网络层：决定了数据的逻辑寻址（IP）

数据链路层：定义了数据在本地通信网络中的寻址和格式

物理层：定义了数据在物理链路的信号类型、强度等物理特征，及线缆、设备的标准

TCP的端口号：定义了这个数据的服务类型

http ： 80

https ：443

smtp: 25

pop3: 110

telnet: 23

ssh: 22

ftp: 21

UDP端口号：

dns: 53

RIP: 520

icmp的服务：

echo----ping访问

echo-reply--ping回应

IIS(ftp,web):80,21,443

exchange:110,25

A IE sohu(IIS)

------s_IP:A,d_IP:sohu,s_port:X,d_port:80-->

<-----s_IP:sohu,d_IP:A,s_port:80,d_port:X---

1号ACL

允许 192.168.1.0/24

允许 192.168.2.0/24

允许 192.168.0.0/16

丢弃 192.168.3.0/24

（隐含拒绝所有）

允许 192.168.1.0/24

允许 192.168.2.0/24

丢弃 192.168.1.0/24

丢弃 192.168.2.0/24

允许所有

（隐含拒绝所有）

访问控制列表的接口绑定：

ACL只有绑定到接口的IN/OUT方向，才对该接口上进/出路由器的数据做过滤

配置访问控制列表：

1）创建ACL

(config)#access-list # ...

2) 将ACL捆绑到接口的方向

(config)#interface fastethernet 0/0

(config-if)#ip access-group # in/out

配置标准ACL：

access-list #(1-99) permit/deny a.b.c.d w.x.y.z

a.b.c.d:源IP地址匹配对象

w.x.y.z：通配符

配置扩展ACL：

access-list #(100-199) permit/deny 协议源IP 通配符 [源端口] 目标IP 通配符 [目标端口]

协议：TCP,UDP,icmp,ospf,eigrp,ip

源IP 通配符：源IP地址范围

源端口：源端口的范围，gt(>),lt(<),eq(=),range（a---b）。如果不写，表示不关心目标IP 通配符：目标IP地址范围

目标端口：目标端口的范围

注意：一般访问数据包的源端口是没有实际意义，不用关心。

拒绝 192.168.1.0/24对192.168.2.100主机的ping和远程telnet

access-list 100 deny icmp 192.168.1.0 0.0.0.255 192.168.2.100 0.0.0.0 echo access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq 23 access-list 100 permit ip any any

R3的192.168.33.1主机只能被192.168.1.1远程登录

R3的192.168.33.0网段的主机不能收到任何大于1024的tcp端口的访问

R1的192.168.111.100主机只能访问192.168.3.1的网页

192.168.1.0 不能ping通192.168.3.0，但192.168.3.0可以ping通192.168.1.0

注意点：访问控制列表不过滤自己产生的数据包