访问控制列表有两种:一种是标准的访问控制列表,另一种是扩展的访问控制列表。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
扩展访问控制列表其中重要的一种是IP访问控制列表。为什么要使用访问列表?
1、管理网络中逐步增长的 IP 数据
2、当数据通过路由器时进行过滤
访问控制列表的应用:
1、允许、拒绝数据包通过路由器
2、允许、拒绝Telnet会话的建立
3、没有设置访问列表时,所有的数据包都会在网络上传输
4、基于数据包检测的特殊数据通讯应用
标准访问控制列表应注意以下几点:
1、检查源地址
2、通常允许、拒绝的是完整的协议
扩展访问控制列表应注意以下几点:
1、检查源地址和目的地址
2、通常允许、拒绝的是某个特定的协议
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
标准访问列表和扩展访问列表相比,标准的比扩展的简单。下面我们来做一个关于标准访问控制列表的实验。经过在路由上配置访问控制命令后,阻止PC机3 ping PC机2和PC机1,但是PC机3能ping通PC机1和2的网关192.168.1.1.实验的拓扑连接图如下:
Router1 E0/0 <----> VPCS V0/1
Router1 E0/1 <----> VPCS V0/2
Router1 E0/2 <----> VPCS V0/3
标准访问控制列表配置时候很简单,要用的设备也很简单,一台路由器,三个PC机就行,下面我们开始来做实验,首先这是在路由器中的配置
en
conf t
host r1
int e0/0
ip addr 192.168.1.2 255.255.255.0
no shut
exit
int e0/1
ip addr 192.168.2.1 255.255.255.0
no shut
exit
int e0/2
ip addr 192.168.3.1 255.255.255.0
no shut
exit
access-list 1 permit any
int e0/0
ip access-group 1 out------------在接口上应用配置
exit
int e0/1
ip access-group 1 out
exit
配置完成后如下图所示,端口全部打开了
接下来配置PC机,配置pc机很简单,只需配置ip和网关就可以配置如下 :PC1的IP是192.168.1.1 网关为192.168.1.2
PC2的IP是192.168.2.2 网关为192.168.2.1
PC3的IP是192.168.3.2 网关为192.168.3.1
Ok配置完成后我们在pc机上测试一下,最后结果是pc3ping不通pc1和pc2,但是能ping通它们的网关
如下所示,配置标准访问控制列表成功达到了目的。
标准访问控制列表的配置就这样的完成了,大家是不是旧的很简单呢?呵呵…..
下面我们来做一个关于扩展访问控制列表的实验。经过在路由二上配置访问控制命令后,阻止Router1 telnet192.168.2.1 连接Router2上面,但是telnet连接其他的路由却能连通,其他的路由之间也都能通过telnet连通192.168.1.1.实验的拓扑连接图如下:
Router1 S0/0 <----> Router2 S0/0
Router2 S0/1 <----> Router3 S0/1
一、下面我们来配置第一个路由。第一个路由器配置很简单,全是最基本的命令配置,其具体的命令如下:
en
conf t
enable password cisco――――――定义特权模式的明文密码
host r1――――――――――――定义路由器一的名称
line vty 0 4-------------------------------开启虚拟终端Telnet服务
pass cisco--------------------------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login--------------------------------------登陆
int s0/0―――――――――――--进入Router1的int s0/0端口
ip addr 192.168.1.1 255.255.255.0-----定义路由器一的IP地址
no shut-----------------------------关闭端口
exit----------------退出
router ospf 100-----------------------配置路由协议以及管理距离
network 192.168.1.1 0.0.0.0 area 0----------宣告192.168.1.1 IP地址 反码为0.0.0.0 ospf区域为骨干区域area0
exit
二、接着我们来配置路由器二。我们要在路由器二上设置访问列表的参数来拒绝192.168.1.1 telnet 连接到192.168.2.1。具体的配置如下:
en
conf t
enable password cisco――――定义特权模式的明文密码
host r2――――――――――定义路由器二的名称
line vty 0 4------------------------开启虚拟终端Telnet服务
password cisco-----------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login------------------------------登陆
ip addr 192.168.1.2 255.255.255.0-----连接路由器一的IP地址
clock rate 64000--------------配置时钟频率
no shut
exit
int s0/1----------------进入Router2的int s0/1端口
ip addr 192.168.2.1 255.255.255.0-----定义路由器二的IP地址
no shut
exit
router ospf 100-----------------------配置路由协议以及管理距离
network 192.168.1.2 0.0.0.0 area 0
network 192.168.2.1 0.0.0.0 area 0
exit
access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.1 0.0.0.0 eq 23---------------拒绝子网192.168.1.1使用路由器s0口与子网192.168.2.1 telnet会话
access-list 100 permit ip any any--------------允许其它数据
int s0/0
ip access-group 100 in---------------------------在端口上应用访问列表
-exit
三、路由器三上的配置命令。和第一个路由器的配置几乎一样,全是最基本的命令配置,在配置时候只须改一下IP地址和端口号即可。其具体的命令如下:
en
conf t
host r3
enable password cisco――――――定义特权模式的明文密码
line vty 0 4----------------------------开启虚拟终端Telnet服务
password cisco-------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login----------------------登陆
int s0/1-------------------------------进入路由器三的int s0/1端口
ip addr 192.168.2.2 255.255.255.0--------定义路由器三的IP地址
clock rate 64000------------------------配置时钟频率
no shut--------------------关闭端口
exit----------------退出
router ospf 100--------------------定义路由器的协议类型与管理距离
network 192.168.2.2 0.0.0.0 area 0
exit
四、路由器都配置完成后,我们接下来我们在路由器上测试一下。如下图我们在路由一上进行的测试,测试成功了,路由器一Telnet连接不上192.168.2.1,但是却能Telnet连接到192.168.1.2,和 192.168.2.2,输入特权密码后即可进入理由器中进行配置
我们在Router2中可以Telnet连接到192.168.1.1和192.168.2.2,输入特权密码后即可进入路由一或路由三中进行配置了。
如下图所示在Router3中也Telnet连接到了192.168.1.1和192.168.2.1输入密码进入路由后可对路由进行配置
附加:我们在做访问列表的路由器上输入“show access-list”来查看一下路由器上配置的所有访问列表。
show access-list:显示路由器上配置的所有访问列表
我们在Router2中输入命令后,看到了配置的访问列表的所有信息。
总结:
标准访问列表和扩展访问列表相较,标准的只能针对IP地址做限制 扩展的可以对协议对端口做限制。具体的格式如下:
1、扩展访问列表的格式:access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口号]
2、标准访问列表的格式的具体格式如下:access-list ACL号 permit|deny host ip地址
标准访问列表是基于源地址,允许和拒绝完整的TCP/IP协议;编号范围 1-99和1300-1999
扩展访问列表是基于源地址和目标地址,指定TCP/IP的特定协议和端口;编号范围 100-199和2000-2699
本篇文章到这里就算结束了!文章看上去有些杂乱,希望各位不要见怪啊!我也尽了自己最大努力,如有什么不明之处,还请各位高手多多指教。本人感激不尽………如需帮助,QQ联系 本人:458180854
http://blog.51cto.com/hongwei/133632
本文转自 张宏伟 51CTO博客,原文链接:http://blog.51cto.com/hongwei/133632