❶ cisco访问列表怎么写
cisco acl默认有一条deny any
可以
deny 10.10.2.1/32 (deny host 10.10.2.1)
pernit any
❷ 简述访问控制列表应用的一般规则
H3C交换机典型访问控制列表(ACL)配置实例
一 组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二 组网图:
三配置步骤:
H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
system-view [H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虚接口地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
❸ 访问控制列表的分类
in的时候判断的是源地址是vlan内的地址,out的时候判断源地址是非本vlan 内的地址。
18、19两个不同的网段,在18网段上加访问列表,
----〉表示能够访问,---X-->;表示不能访问。
ip access-l exte test_liu
deny ip host 10.24.18.5 host 10.24.19.30
permit ip any any
__________________________________________________
inter vlan 18
ip access-g test_liu in
exit
测试:18.5--X-->19.30
19.30--X-->18.5
访问列表生效,在IN 方向判断源地址18.5属于本VLAN
___________________________________________________
inter vlan 18
ip access-g test_liu out
exit
测试:18.5---->19.30
19.30---->18.5
访问列表不生效,在OUT方向判断源地址18.5属于本VLAN,不作限制
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ip access-l exte test_liu
deny ip host 10.24.19.30 host 10.24.18.5
permit ip any any
----------------------------------------------------
inter vlan 18
ip access-g test_liu in
exit
测试:18.5---->19.30
19.30---->18.5
访问列表不生效,在in方向判断源地址19.30不属于本VLAN,不作限制
__________________________________________________ 配置路由器
动态路由已设好,IP地址分配如下:
RouterA f0/0: 10.65.1.2
RouterA f0/1: 10.66.1.2
RouterA s0/1: 10.68.1.2
RouterC s0/0: 10.68.1.1
RouterC s0/1: 10.78.1.2
RouterB s0/0: 10.78.1.1
RouterB s0/1: 10.69.1.2
RouterB f0/0: 10.70.1.2
SWA:10.65.1.8gateway:10.65.1.2
PCA:10.65.1.1gateway:10.65.1.2
PCB:10.66.1.1gateway:10.66.1.2
PCC:10.69.1.1gateway:10.69.1.2
PCD:10.70.1.1gateway:10.70.1.2
PCE:10.65.1.3gateway:10.65.1.2
PCF:10.65.2.1gateway:10.65.1.2
基本基础
先从PCA ping PCD:
[root@PCA @root]#ping 10.70.1.1 (通)
在ROC的s0/0写一个输入的访问控制列表:
RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0
RouterC(config)#access-list 1 deny any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 in
RouterC(config-if)#end
RouterC#sh access-list 1
[root@PCA @root]#ping 10.70.1.1(通)
[root@PCE @root]#ping 10.70.1.1(不通)
[root@PCE @root]#ping 10.66.1.1(通)
[root@PCB @root]#ping 10.70.1.1(不通)
[root@PCD @root]#ping 10.66.1.1(通)
第一个ping,PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是
允许的,所以通。
第二个ping,PCE虽然是65网段,但是access-list 1对10.65.1.1是完全匹配,
所以10.65.1.3的数据包不能通过。
第三个ping,PCE到PCB不通过RouterC的s0/0,所以能通。
第四个ping,PCB的IP地址是10.66.1.1,它是被禁止的,所以不通。
第五个ping,从PCD到PCB的数据包是从RouterC的s0/0口出,不受access-list 1
的控制,所以通。
下面再写一个访问控制列表,先删除原访问控制列表:
RouterC(config)#no access-list 1
RouterC(config-if)#no ip access-group 1 in
二者都可能实现去掉访问列表的目的。前者是从列表号角度删除,后者是从接口
的输入和输出角度删除。
可以通过sh access-list <n> 命令查看访问控制列表。
下面再写一个访问控制列表:
RouterC(config)#access-list 2 deny 10.65.1.1 0.0.0.255
RouterC(config)#access-list 2 permit any
RouterC(config)#int s0/0
RouterC(config-if)#ip access-group 1 out
RouterC(config-if)#end
RouterC#sh access-list 1
这个访问控制列表比上一个访问控制列表有以下几点不同:
⑴ 先deny后permit,
⑵ 禁止的是一个C类
⑶ 一个输出的访问控制
[root@PCA @root]#ping 10.69.1.1(不通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(通)
因为PCA和PCE的IP地址10.65.1.1、10.65.1.3,在deny范围内,所以不通。
而PCF的IP是10.65.2.1不在10.65.1.0 0.0.0.255范围内,所以能通。
梯形基本
访问控制列表一般是顺序匹配的,梯形结构,下面是一个参考:
RouterC(config)#access-list 4 permit 10.65.1.1
RouterC(config)#access-list 4 deny 10.65.1.0 0.0.0.255
RouterC(config)#access-list 4 permit 10.65.0.0 0.0.255.255
RouterC(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RouterC(config)#access-list 4 permit any
RouterC(config)#int s0/1
RouterC(config-if)#ip access-group 4 out
[root@PCA @root]#ping 10.69.1.1(通)
[root@PCE @root]#ping 10.69.1.1(不通)
[root@PCF @root]#ping 10.69.1.1(通)
[root@PCB @root]#ping 10.69.1.1(不通) 列表格式
---- 标准型IP访问列表的格式如下:---- access-list[list number][permit|deny][source address]---- [address][wildcard mask][log]---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list这2个关键字之间必须有一个连字符-;其次,list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。
允许拒绝
---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址,利用不同掩码的组合可以指定主机。---- 为了更好地了解IP地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要通过总部的路由器访问Internet。要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准型IP访问列表中的access-list语句如下:---- access-list 1 permit 192.46.28.0 0.0.0.255---- 注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩码。这里,又可以补充一条访问列表的规则5。
指定地址
---- 如果您想要指定一个特定的主机,可以增加一个通配符掩码0.0.0.0。例如,为了让来自IP地址为192.46.27.7的数据包通过,可以使用下列语句:---- Access-list 1 permit 192.46.27.7 0.0.0.0---- 在Cisco的访问列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用host这一关键字。例如,为了让来自IP地址为192.46.27.7的数据包可以通过,您可以使用下列语句:---- Access-list 1 permit host 192.46.27.7---- 除了可以利用关键字host来代表通配符掩码0.0.0.0外,关键字any可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255。例如,如果希望拒绝来自IP地址为192.46.27.8的站点的数据包,可以在访问列表中增加以下语句:---- Access-list 1 deny host 192.46.27.8---- Access-list 1 permit any---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为192.46.27.8的数据包过滤掉,第2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变上述语句的次序,那么访问列表将不能够阻止来自源地址为192.46.27.8的数据包通过接口。因为访问列表是按从上到下的次序执行语句的。这样,如果第1条语句是:---- Access-list 1 permit any---- 的话,那么来自任何源地址的数据包都会通过接口。
拒绝列表
---- 在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条deny any的语句。假设我们使用了前面创建的标准IP访问列表,从路由器的角度来看,这条语句的实际内容如下:---- access-list 1 deny host 192.46.27.8---- access-list 1 permit any---- access-list 1 deny any---- 在上述例子里面,由于访问列表中第2条语句明确允许任何数据包都通过,所以隐含的拒绝语句不起作用,但实际情况并不总是如此。例如,如果希望来自源地址为192.46.27.8和192.46.27.12的数据包通过路由器的接口,同时阻止其他一切数据包通过,则访问列表的代码如下:---- access-list 1 permit host 192.46.27.8---- access-list 1 permit host 192.46.27.12---- 注意,所有的访问列表会自动在最后包括deny any语句。---- 顺便讨论一下标准型IP访问列表的参数log,它起日志的作用。一旦访问列表作用于某个接口,那么包括关键字log的语句将记录那些满足访问列表中permit和deny条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式,或者在控制台上显示日志,或者在内存中记录日志。通过Cisco IOS的控制台命令可以选择记录日志方式。 (1) “ACL 的最后一条语句都是隐式拒绝语句” 是什么意思?
每个 ACL 的末尾都会自动插入一条隐含的 deny 语句,虽然ACL中看不到这条语句,它仍其作用。隐含的 deny 语句会阻止所有流量,以防不受欢迎的流量意外进入网络。
(2) 配置ACL后为什么没有生效?
在创建访问控制列表之后,必须将其应用到某个接口才可开始生效。ACL 控制的对象是进出接口的流量。
❹ 什么是访问控制列表
下面是对几种访问控制列表的简要总结。
●标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。
●扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
●命名的IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
●标准IPX访问控制列表
标准IPX访问控制列表的编号范围是800-899,它检查IPX源网络号和目的网络号,同样可以检查源地址和目的地址的节点号部分。
●扩展IPX访问控制列表
扩展IPX访问控制列表在标准IPX访问控制列表的基础上,增加了对IPX报头中以下几个宇段的检查,它们是协议类型、源Socket、目标Socket。扩展IPX访问控制列表的编号范围是900-999。
●命名的IPX访问控制列表
与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。从而方便定义和引用列表,同样有标准和扩展之分。
❺ 路由器 访问列表的设置
什么是访问列表
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。
❻ 什么是访问列表访问列表有什么功能
简单来说,访问控制列表是在数据包输入时,通过检查包头内容,按照是否与设置的规则匹配来决定是否转发。最基本的可以检查源和目的mac地址、源和目的IP地址、端口号,也有的扩展了可以控制时间段等。
设置了规则后,软件会将规则写入硬件表(如Broadcom的芯片就写入FFP表),数据包输入后,按照表中的设置位与数据包的对应位比对来决定是否转发。
若产品有规则自动排序功能的,在写入硬件表之前还需根据匹配范围大小将规则重新排序,再写入硬件表。
因采用硬件处理,可达到线速转发。
❼ 访问列表分为哪两类A 标准访问列表 B高级访问列表 C低级访问列表 D扩展访问列表
化D盘,就在我的电脑里的D盘点右键!
里边就有格式化!
详细回答:
格式如形式,格式化就如将一个东西以一种形式表示出来.
格式化硬盘就是把一张空白的盘划分成一个个小的区域,并编号,供计算机储存,读取数据.没有这个工作的话,计算机就不知道在哪写,从哪读.
硬盘必须先经过分区才能使用,磁盘经过分区之后,下一个步骤就是要对硬盘进行格式化(FORMAT)的工作,硬盘都必须格式化才能使用.
格式化是在磁盘中建立磁道和扇区,磁道和扇区建立好之后,电脑才可以使用磁盘来储存数据.
在Windows和DOS操作系统下,都有格式化Format的程序,不过,一旦进行格式化硬盘的工作,硬盘中的数据可是会全部不见喔!所以进行这个动作前,先确定磁盘中的数据是否还有需要,如果是的话先另行备份吧.
高级格式化就是清除硬盘上的数据、生成引导区信息、初始化FAT表、标注逻辑坏道等.
低级格式化就是将空白的磁盘划分出柱面和磁道,再将磁道划分为若干个扇区,每个扇区又划分出标识部分ID、间隔区GAP和数据区DATA等.可见,低级格式化是高级格式化之前的一件工作,它只能够在DOS环境来完成.而且低级格式化只能针对一块硬盘而不能支持单独的某一个分区.每块硬盘在出厂时,已由硬盘生产商进行低级格式化,因此通常使用者无需再进行低级格式化操作.
格式化分区以后分区的文件就消失了,所以格式化应当注意使用,不然删除了自己的文件就很难恢复了!
❽ 简述访问控制列表的作用和组成
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。
IP访问控制列表的分类
标准IP访问控制列表
当我们要想阻止来自某一网络的所有通信流量,或者充许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问控制列表
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
命名访问控制列表
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以让我们在使用过程中方便地进行修改。
在使用命名访问控制列表时,要求路由器的IOS在11.2以上的版本,并且不能以同一名字命名多个ACL,不同类型的ACL也不能使用相同的名字。
通配符掩码
通配符掩码是一个32比特位的数字字符串,它被用点号分成4个8位组,每组包含8比特位。在通配符掩码位中,0表示“检查相应的位”,1表示“不检查相应的位”。通配符掩码与IP地址是成对出现的,通配符掩码与子网掩码工作原理是不同的。在IP子网掩码中,数字1和0用来决定是网络、子网,还是相应的主机的IP地址。如表示172.16.0.0这个网段,使用通配符掩码应为0.0.255.255。
在通配符掩码中,可以用255.255.255.255表示所有IP地址,因为全为1说明所有32位都不检查相应的位,这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配,这样只表示一个IP地址,可以用host表示。所以在访问控制列表中,可以选择其中一种表示方法来说明网络、子网或主机。
实现方法
首先在全局配置模式下定义访问列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理,它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配,则继续检测列表中的下一个语句。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。
标准IP访问控制列表
在实现过程中应给每一条访问控制列表加上相应的编号。标准IP访问控制列表的编号为1至99,作用是阻止某一网络的所有通信流量,或允许某一网络的所有通信流量。语法为:
Router(config)#access-list access-list-number(1~99){deny|permit} source [source-wildcard]
如果没有写通配符掩码,则默认值会根据源地址自动进行匹配。下面举例来说明:要阻止源主机为
192.168.0.45的一台主机通过E0,而允许其他的通讯流量通过E0端口。
Router(config)#access-list 1 deny 192.168.0.45 0.0.0.0
或Router(config)#access-list 1 deny host 192.168.0.45
或Router(config)#access-list 1 deny 192.168.0.45
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 1 in
首先我们在全局配置模式下定义一条拒绝192.168.0.45主机通过的语句,通配符掩码可以使用0.0.0.0或host,或使用缺省值来表示一台主机,然后将其访问列表应用到接口中。如果现在又修改了计算机的IP地址,那么这条访问控制列表将对您不起作用。
扩展IP访问控制列表
扩展IP访问控制列表的编号为100至199,并且功能更加灵活。例如,要阻止192.168.0.45主机Telnet流量,而允许Ping流量。
Router(config)#access-list 101 permit icmp 192.168.0.45 0.0.0.0 any
Router(config)#access-list 101 deny tcp 192.168.0.45 0.0.0.0 any eq 23
Router(config)#access-list 101 permit ip any any
Router(config)#interface ethernet 0
Router(config-if)#ip access-group 101 in
因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。
命名访问控制列表
对于某一给定的协议,在同一路由器上有超过99条的标准ACL,或有超过100条的扩展ACL。想要通过一个字母数字串组成的名字来直观地表示特定的ACL时,并且路由器的IOS版本在11.2及以上时,可以使用命名访问控制列表,也就是用某些字符串来取代标准与扩展ACL的访问列表号。命名访问控制列表的语法格式为:
Router(config)#ip access-list {standard|extended} name
在ACL配置模式下,通过指定一个或多个允许或拒绝条件,来决定一个数据包是允许通过还是被丢弃。语法格式如下:
Router(config{std-|ext-}nacl)#{permit|deny} {source [source-wildcad]|any}
下面是一个配置实例:
ip access-list extended nyist
permit tcp 172.16.0.0 0.0.255.255 any eq 23
deny tcp any any
deny udp 172.16.0.0 0.0.255.255 any lt 1024
interface Ethernet 0
ip access-group nyist in
基于时间访问列表的应用
随着网络的发展和用户要求的变化,从IOS 12.0开始,思科(CISCO)路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,或二者相结合来控制网络数据包的转发。这种基于时间的访问列表,就是在原来的标准访问列表和扩展访问列表中,加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。
基于时间访问列表的设计中,用time-range 命令来指定时间范围的名称,然后用absolute命令,或者一个或多个periodic命令来具体定义时间范围。IOS命令格式为:
time-range time-range-name absolute
[start time date] [end time date]
periodic days-of-the week hh:mm to [days-of-the week] hh:mm
下面分别来介绍一下每个命令和参数的详细情况:
time-range 用来定义时间范围的命令。
time-range-name 时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用。
absolute 该命令用来指定绝对时间范围。它后面紧跟着start和end两个关键字。在这两个关键字后面的时间要以24小时制hh:mm表示,日期要按照日/月/年来表示。如果省略start及其后面的时间,则表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止。如果省略end及其后面的时间,则表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且一直进行下去。
periodic 主要是以星期为参数来定义时间范围的一个命令。它的参数主要有Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一至周五),或者weekend(周末)。
下面我们来看一个实例:在一个网络中,路由器的以太网接口E0连接着202.102.240.0网络,还有一个串口S0连入Internet。为了让202.102.240.0网络内的公司员工在工作时间内不能进行WEB浏览,从2003年5月1日1时到2003年5月31日晚24时这一个月中,只有在周六早7时到周日晚10时才可以通过公司的网络访问Internet。
我们通过基于时间的扩展访问控制列表来实现这一功能:
Router# config t
Router(config)# interface Ethernet 0
Router(config-if)#ip access-group 101 in
Router(config-if)#time-range http
Router(config-if)#absolute start 1:00 1
may 2003 end 24:00 31 may 2003 periodic Saturday 7:00 to Sunday 22:00
Router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上,再加上时间控制就达到了目的。因为是控制WEB访问的协议,所以必须要用扩展列表,那么编号需在100至199之间。我们定义了这个时间范围的名称是http,这样,我们就在列表中的最后一句方便地引用了。
合理有效地利用基于时间的访问控制列表,可以更有效、更安全、更方便地保护我们的内部网络,这样您的网络才会更安全,网络管理人员也会更加轻松。
检验
在路由器中用show running-config命令检查当前正在运行的配置文件,用show ip access-list命令来查看访问控制列表,并在计算机的命令提示符下用Ping/Telnet命令进行测试。
网络安全保障的第一道关卡
对于许多网管员来说,配置路由器的访问控制列表是一件经常性的工作,可以说,路由器的访问控制列表是网络安全保障的第一道关卡。访问列表提供了一种机制,它可以控制和过滤通过路由器的不同接口去往不同方向的信息流。这种机制允许用户使用访问表来管理信息流,以制定公司内部网络的相关策略。这些策略可以描述安全功能,并且反映流量的优先级别。例如,某个组织可能希望允许或拒绝Internet对内部Web服务器的访问,或者允许内部局域网上一个或多个工作站能够将数据流发到广域网上。这些情形,以及其他的一些功能都可以通过访问表来达到目的。
访问列表的种类划分
目前的路由器一般都支持两种类型的访问表:基本访问表和扩展访问表。
基本访问表控制基于网络地址的信息流,且只允许过滤源地址。
扩展访问表通过网络地址和传输中的数据类型进行信息流控制,允许过滤源地址、目的地址和上层应用数据。
表1列出了路由器所支持的不同访问表的号码范围。