ACL访问控制列表全解.ppt

* * * * * * * 08.11.14 计06本 (32) * 标准ACL配置举例2 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网要求拒绝来自/24的用户访问，其它用户都可以访问。 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 permit any R1(config)# interface e0 R1(config-if)# ip access-group 1 out 注意：access-list 1 permit any语句不能省略，如果省略该语句，则所有和语句1不匹配的数据包都会被隐含的access-list 1 deny any语句拒绝。 标准ACL配置举例3 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网只允许来自/24的用户访问，但其中和两台主机除外。 R1(config)# access-list 1 deny host R1(config)# access-list 1 deny host R1(config)# access-list 1 permit 55 R1(config)# interface e0 R1(config-if)# ip access-group 1 out 注意：access-list 1 permit 192.168.20 55语句不能写在另两条语句的前面，如果把它写在第1句，则和因已经满足了条件，不会再进行后面的匹配。 标准ACL配置举例4 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网要求拒绝来自----的用户访问，其它用户都可以访问。 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 deny 55 R1(config)# access-list 1 permit any R1(config)# interface e0 R1(config-if)# ip access-group 1 out 说明： 定义ACL时，每条语句都按输入的次序加入到ACL的末尾，如果想要更改某条语句，或者更改语句的顺序，只能先删除整个ACL，再重新输入。 比如删除表号为1的ACL： Router(config)# no access-list 1 在实际应用中，我们往往把路由器的配置文件导出到TFTP服务器中，用文本编辑工具修改ACL，然后再把配置文件装回到路由器中。 扩展访问控制列表 扩展ACL可以使用地址作为条件，也可以用上层协议作为条件。 扩展ACL既可以测试数据包的源地址，也可以测试数据包的目的地址。 定义扩展ACL时，可使用的表号为100~199。（针对IP数据报） 扩展ACL的语句： access-list 表号 处理方式 条件 表号：取值100~199。 处理方式：permit（允许）或deny（拒绝）。 条件：协议 源地址 目的地址 [运算符 端口号] [established] 协议：用于匹配数据包使用的网络层或传输层协议，如IP、TCP、UDP、ICMP等。 源地址、目的地址：使用“地址 通配符掩码”的形式，也可以使用any、host关键字。 运算符 端口号：用于匹配TCP、UDP数据包中的端口号。 运算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。 端口号用于对应一种应用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。 “运算符 端口号”可匹配数据包的用途。如：“eq 80”可匹配那些访问Web网站的数据包。 在扩展ACL语句中， “运算符 端口号”可以没有。 例： access-list 100 permit tcp 55 55 eq 80 表示允许来自192.168.*.*的用户访问位于10.*.*.*的Web站点。 扩展ACL定义后，也需要使用 ip access-group 命令应用在指定接口上才能起作用。 如： Router(config)# interface e0 Router(config-if)# ip access-group 100 out 在每个扩展ACL末尾也有一条默认语句： access-list list-num deny ip any any 它会拒绝所有与前面语句不匹配的数据包。 扩展ACL配置举例1 R1 E0 一个局域网连接在路由器R1的E0口，这个局域网只允许Web通信流量和Ftp通信流量，其它都拒绝。 R1(config)# access-list 100 permit tcp any any e