《ACL 和 Iptabless》由会员分享,可在线阅读,更多相关《ACL 和 Iptabless(11页珍藏版)》请在金锄头文库上搜索。
1、ACL1.访问控制列表的类型 标准访问控制列表:根据数据包的源IP地址来允许或拒绝。(标号199) 扩展访问控制列表:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志(100-199) 命名访问控制列表:允许在标准和扩展访问控制列表中使用命名来代替标号 定时访问控制列表:提供基于时间的附加访问控制。2.标准的ACL配置 语法:Router(config)#access-list (199) permit|deny 源ip的网段 反掩码 1.允许192.168.1.0/24和192.168.1.2 的流量通过Router(config)#access-list 1 permit 192
2、.168.1.0 0.0.0.255Router(config)#access-list 1 permit 192.168.1.2 0.0.0.0.0或Router(config)#access-list 1 host 192.168.1.12.拒绝访问任何网段 Router(config)#access-list 2 deny any3.删除以建立的ACL Router(config)# no access-list 1 4.将ACl应用到端口 Router(config-if)#ip access-group (199)in | out 3.扩展访问ACL 配置 Router(config
3、)#access-list (100-199)permit | deny protocol 原地址 反掩码 目标地址 反掩码 operator operan Operator:lt-小于;gt大于;eq等于;neq-不等于 Protocol:TCP;UDP;IP;ICMP1. 允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。而拒绝其他的任何流量Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config)#access-
4、list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。而其允许他的任何流量Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21Router(config)#access-list 101 permit ip any any3.禁止192.168.1.0/24中的主机ping服务器192.168.2.2 而允许其他任何流量Router(config)#access-list 119 deny icmp 19
5、2.168.1.0 0.0.0.255 host 192.168.2.2 echoRouter(config)#access-list 119 permit ip any any4.将ACL应用到端口Router(config)# ip access-group 101 in|out5.查看 show access-list4.命名访问控制列表 1. Router(config)#ip access-list standard |extended access-list-name2.标准命名ACL:Router(config-std-nacl)#【seq-Num】 permit|denysou
6、rce 【source-vildcard】 3.扩展命名ACL: Router(config-std-nacl)#【seq-Num】 permit|deny Protocol src src-vildcard dst dst-vildcard 【operator operan】 如:允许来自主机192.168.1.1/24和192.168.2.6/24的流量通过,而拒绝其他的流量通过Router(config)#ip access-list ciscoRouter(config-std-nacl)#15 permit host 192.168.2.6Router(config-std-nacl
7、)#permit host 192.168.1.14.删除 Router(config)# no ip access-list access-list-name 或Router(config)#ip access-list ciscoRouter(config-std-nacl)#no 155.将ACL应用到接口 Router(config-if)#ip access-group name in|out5.定时访问控制列表1.定义时间范围的名称 Router(config)# time-range name2.指定时间范围何时生效 1).定义一个时间周期 Router(config-time-
8、range)#periodic days-of-the-week hh:mm to 【days-of-the-week】hh:mm参数days-of-the-week and month取值说明Month说明Monday星期一January一月Tuesday星期二February二月Wednesday星期三March三月Thursday星期四April四月Friday星期五May五月Saturday星期六June六月Sunday星期日July七月Daily、每天Augest八月weekdays平日(一到五)September九月Weekend周末(六和七)October十月November十一
9、月December十二月2).定义一个决定时间Router(config-time-range)#absolute start hh:mm day month year end hh:mm day month year 2.在扩展ACL中应用时间范围 Router(config)#access-list num permit|denyprotocol src src-vildcard dst dst-vildcard 【operator operan】3.将ACL应用到接口 Router(config-if)#ip access-group num in|out应用:在每周正常工作时间,允许所
10、有IP流量通过网络 Router(config)#time-range worktime Router(config-time-range)#periidic weekdays 8:30 to 17:30 Router(config)#access-list 101 permit ip any any time-range worktime Router(config)#int f0/x Router(config-if)#ip access-group 101 in 在2009年5月10日8:30 dao 20日18:00这时间段,允许所有的ip流量通过。 Router(config)# t
11、ime-range mytime Router(config-time-range)#absolute start 8:00 10 may 2009 end 18:00 20 may 2009 Router(config)#access-list 100 permit ip any any time-range mytime6.定义顺序和应用端口规则 1.顺序 1.确定源地址和目标地址1. x x x x x x x x y x表示拒绝 y 表示允许2.y y y y y yy y y x 2.确定顺序 3.确定端口和协议2.端口应用规则 1.一般标准ACL应用在离目的地最近的路由器上的(in
12、的方向上)。 2.一般扩展ACL应用在离源地址最近的路由器上。7.具体应用 配置ACL实现要求R1的配置:access-listpermit 192.168.2.0 0.0.0.255username benet passwork 123line vty 0 4login localaccess-class 1 inSW1、SW2、SW3同样配置 SW1的其他配置:1.1.access-list 100 permit ip 192.168.2.0 0.0.0.0.255 host 192.168.100.2 表示只有192.168.2.0 访问Server1.2.access-list 100
13、 deny tcp 192.168.0.0. 0.0.255.255 host 192.168.100.2 eq 23 telnet access-list 100 deny tcp 192.168.0.0. 0.0.255.255 host 192.168.100.2 eq 22 ssh access-list 100 deny tcp 192.168.0.0. 0.0.255.255 host 192.168.100.2 eq 3389 远程桌面1.3. access-list 100 permit ip 192.168.0.0. 0.0.255.255 host 192.168.100.
14、2 access-list 100 permit tcp any host 192.168.100.2 eq 80 1.4. access-list 100 deny ip any any1.5. int vlan 100 Ip access-group 100 out 2.110表示,192.168.3.0 的网段可以范围服务器,可以访问192.168.2.0的网段,但不能访问其他部门和外网Access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2 Access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255Access-list 101 permit deny ip any any Int vlan 100 ipaccess-group 110 in3.应用定时ACL1.time-range benet2.periodic weekdays 8:30 to 18
