标准访问控制列表 和 扩展访问控制列表
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
001 实验:先将2台路由器配置成静态路由 要全部都通
002 按要求在B OUT方向做一个ACL 禁止192.168.0.0 网段的机器过来
RB(config)#ip access-list standard 1
RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
----------------------注意 思科的区别 是用反码
RB(config-std-nacl)#permit any
003 在端口OUT方向禁止
RB(config)#int f0/0
RB(config-if)#ip acc
RB(config-if)#ip access-group 1 out
——————————————————
如果这个时候在A路由器上加多一个3.0的网段 就可以ping通了
————————————————————————————
————————————————————————————————
004 做一个实验 不加permit any
RB(config)#ip access-list standard 1
RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
————————————————————————————
005 再做一个IN方向的实验 看怎么才能做???按要求在B IN方向做一个ACL 禁止192.168.0.0 网段的机器过来
——————————————————————
006 先将刚才的ACL表去掉
C #no ip access-list standard 1
如何去掉端口的限制???
no ip access-group 1 out
看是否恢复正常
________________________________________
007 现在来禁止单个主机IP地址
RB(config)#ip access-list standard 1
RB(config-std-nacl)#deny 192.168.0.2
RB(config-std-nacl)#permit any
这个时候如果加多一个0.3 会发现OK了
——————————————————————————
008 按要求在B IN方向做一个ACL 禁止192.168.0.0 网段的机器过来;如果这样做行不行?
RB(config)#ip access-list standard 1
RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
RB(config)#int s2/0
RB(config-if)#ip access-group 1 in
————————————————————————————
009 按要求在B IN方向做一个ACL 只允许主机192.168.0.2机器过来OUT
RB(config)#ip access-list standard 1
RB(config-std-nacl)#permit host 192.168.0.2
B(config-std-nacl)#deny any
——————————————————————————————————
扩展访问控制列表
扩展IP访问控制列表的编号为100至199,并且功能更加灵活。例如,要阻止192.168.0.45主机Telnet流量,而允许Ping流量。
RA(config)#ip access-list extended 120
RA(config-ext-nacl)#deny tcp ?
RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 255.255.255.0 eq
RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 255.255.255.0 eq ?
RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 0.0.0.0 eq 23
——————————————————————————————————————————
deny(禁止) 协
议 源IP地址/网段 反掩码 目的IP地址/网段 反掩码 eq 端口
------------------注意 扩展访问控制列表 这句是用反掩码
就比如 你是IP对IP 那就是:
ROA(config)# deny ip 10.651.1 0.0.0.255 10.74.1.1 0.0.0.0
******禁止A网段(源网段)下的某协议(或某端口)访问B网段(目的网段)
router(config)#access-list 表号 permit ip any any
注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 **********进入想要应用此ACL的接口
router(config-if)#ip access-group 表号 out/in ******激活该接口下咋访问控制列表,并根据实际情况设置此接口为OUT/in。
————————————————————————————————————————————
RA(config-ext-nacl)#permit icmp any any
因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。