IP访问控制列表(ACL)

为什么要使用访问列表

管理网络中逐步增长的 IP 数据

当数据通过路由器时进行过滤

访问列表的应用

允许、拒绝数据包通过路由器

允许、拒绝Telnet会话的建立

没有设置访问列表时,所有的数据包都会在网络上传输

什么是访问列表--(标准,扩展)

标准

检查源地址

通常允许、拒绝的是完整的协议

扩展

检查源地址和目的地址

通常允许、拒绝的是某个特定的协议

什么是访问列表

进方向和出方向 

访问列表配置指南

访问列表的编号指明了使用何种协议的访问列表

每个端口、每个方向、每条协议只能对应于一条访问列表

访问列表的内容决定了数据的控制顺序 

具有严格限制条件的语句应放在访问列表所有语句的最上面

在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句

先创建访问列表,然后应用到端口上

访问列表不能过滤由路由器自己产生的数据

标准访问列表和扩展访问列表比较

标准

基于源地址                         允许和拒绝完整的TCP/IP协议             编号范围1-99和1300-1999

扩展

基于源地址和目标地址         指定TCP/IP的特定协议和端口号         编号范围100-199和2000-2699

配置

标准IP访问列表的配置

Router(config)#

access-list access-list-number {permit|deny} source [mask]

为访问列表设置参数

IP 标准访问列表编号 1 到 99

缺省的通配符掩码 = 0.0.0.0

“no access-list access-list-number” 命令删除访问列表

Router(config-if)#

ip access-group access-list-number  { in | out }

在端口上应用访问列表

指明是进方向还是出方向

“no ip access-group access-list-number” 命令在端口上删除访问列表

扩展 IP 访问列表的配置

Router(config)#

access-list access-list-number  { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]  

设置访问列表的参数

Router(config-if)# ip access-group access-list-number  { in | out }

在端口上应用访问列表

查看访问列表的语句

wg_ro_a#show {protocol} access-list {access-list number} 

wg_ro_a#show access-lists {access-list number} 

wg_ro_a#show access-lists 

Standard IP access list 1

    permit 10.2.2.1

    permit 10.3.3.1

    permit 10.4.4.1

    permit 10.5.5.1

Extended IP access list 101

    permit tcp host 10.22.22.1 any eq telnet

    permit tcp host 10.33.33.1 any eq ftp

    permit tcp host 10.44.44.1 any eq ftp-data