标准的访问控制列表的配置
2014-10-15 15:57
246 查看
前提(先进入全局配置模式下)
access–list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号
ip access–group 11 in/out 前提(先进入接口配置模式下) in为进方向out为出方向,缺省下为出方向 11为上面做访问控制列表时用的编号 做完这两步,一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0
用no access–list 11 命令删除访问控制列表,属于这个编号下的访问控制列表全部删除(先进入全局模式下)
用no ip access–group 11 命令在端口上删除访问控制列表(先进入接口模式下)
扩展的访问控制列表的配置 前提(先进入全局配置模式下)
access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80
access–list 101 permit ip any any 扩展访问列表允许所有时,后面要用两个any 标准访问控制列表在允许所有的时候,后面是一个any
101为编号 tcp为协议号 172.16.4.0 0.0.0.255为源地址172.16.3.0 0.0.0.255 为目的地址 eq是等于的意思 80为端口号 上面第一条访问控制列表的意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络,第二条访问控制列表的意思的允许所有
ip access–group101 out 前提(先进入接口配置模式)这条命令是接口上启用访问控制列表并指定方向
命名的访问控制列表的配置(11.2以后的版本才支持)-基于IP和IPX都可以,可以自已定义一个名字 (前提,先进入全局配置模式下)
ip access–list standard/extended cisco cisco为自行定义的名字
deny/permit 172.1.1.0 0.0.0.255 上面选择standard即标准访问控制列表的时候
deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 上面选择extended即扩展访问控制列表的时候
ip access–group cisco in/out 前提(先进入接口配置模式下)在接口上应用命名的访问控制列表,并指定方向
在VTY上面做禁止远程telnet访问
line vty 0 4
password cisco 在VTY下面配置的密码,在VTY下没有密码的时候,远程主机也不能发起telnet访问
login login登陆的意思(在VTY没设密码没做访问控制列表的情况下,这里设成no login远程主机可以telnet登录)
!(退到全局模式下)
access–list 1 deny 30.30.30.0 0.0.0.255(拒绝一个网络访问)
line vty 0 4
access–class 1 in (在VTY模式下开启访问控制列表并配置方向) in 为方向
带ESTABLISHED选项的扩展访问列表
带有Established的扩展访问列表允许内部的用户访问外部网络,而拒绝外部用户访问内部网络。而没有带关键词established的标准访问表和扩展访问表没有这个特性(Feature 下面是配置:(先进入全局模式下)
access–list 101 permit tcp any any established log–input
access–list 101 permit ospf any any
access–list 101 deny ip any any log–input
进入接口模式下
ip access–group 101 in
以上log–input 是为了显示数据报文被过滤的情况。接下来用 debug ip packet detailed 来监视报文经过的情况,因为路由器还有OSPF 的报文产生,因此我们用另外一条扩展访问控制列表对Debug 信息做限制
不监视OSPF的报文,下面为第2条扩展访问控制列表的配置 (先进入全局模式下)
access–list 102permit tcp any any 这里没有做拒绝OSPF的访问控制,但默认拒绝所有会拒绝OSPF
退到特权模式下配置
debug ip packet detail 102 (特权模式下查看debug输出信息命令为show logging )
上面这个案例是基于TCP的应用,任何TCP的通讯都是双向的
注意:TCP协议的第一次发送是SYN字段,这是用来同步准备建立一个新连接的两端主机,而ACK位由接收者置位从而向发送者表明数据已经成功接收,RST (reset)位说明什么时候重新启动连接。带Established的扩展访问列表只允许ACK或RST位置1的TCP报文通过。
动态访问列表
动态访问控制列表的实际应用是,如果用户想通过路由器访问一台主机,用户必须先telnet到这个主机必经过的路由器上面,一旦获得认证,路由器建立临时的访问列表使用户能够到达目的主机,下面开始配置。
假定必经路由器为R1要访问的主机为R2 想通过路由器发起访问的路由器或主机为R3
先在R3上面做允许远程访问的配置,我们把路由器的路由功能关闭代替主机,先进入全局模式下
no ip routing 这条命令关闭路由功能
ip default–gateway 12.1.1.1 (根据接口IP地址指定12.1.1.1为默认网关)
line vty 0 4
no login (可以让远程主机建立telnet连接)
R2没有路由功能,所以要在R1上面做一条与R2相连的静态路由
ip route 2.2.2.0 255.255.255.0 12.1.1.2
然后在必经路由器R1上面建立本地用户名、密码数据库,先进入全局模式下
username onetom password onetom onetom为自行定义的用户名和密码
line vty 0 4
login local
username onetom autocommand access–enable timeout 5(配置动态访问列表的空闲时间为5分钟,即5分钟没有数据通信活动,该访问列表自动删除,要求用户重新进行认证,空闲时间以倒计时方式表示,只要有对应数据报文通过,该计时即会恢复到初始5分钟)
下面开始配置动态访问列表,指定onetom用户,从R3发起访问R2的任何流量需经过认证
access–list 101 dynamic R3-to-R2 permit ip any host 2.2.2.2 log–input dynamic 是动态的意思
access–list 101 permit tcp any host 1.1.1.1 eq telnet log–input
access–list 101 permit ospf any any ospf 为路由器配置的协议
access–list 101 deny ip any any log–input
再进入接口模式下 (例interface serial 2/0)
i access–group 101 in
再进入使用的路由协议模式下
redistribute static subnets (重发布静态路由)
TIME-RANGE访问列表 time-range的意思是时间范围
扩展访问控制列表支持time–range 参数,允许根据一天中的时间段来控制访问,以下是配置案例,使路由器2只能在周一到周五的白天8:00--10:00和周六、日远程telnet访问路由器1
只要在路由器1上面做配置就可以了 下面先来在路由器1上面做个访问控制列表:(进入全局模式下)
access–list 101 permit tcp any any eq telnet time–range R2–to–R1(R1,R2也可以用相对应的接口IP地址表示)
line vty 0 4
access–class 101 in
no login
time–range R2–to–R1
periodic weekdays 8:00 to 10:00 weekdays是星期一至星期五的意思,periodic是周期的意思
periodic weekend 0:00 to 23:59 weekend 是星期六到星期日的意思
在上面这个访问控制列表中access–list 101 permit tcp any any eq telnet time–rangeR2–to–R1(前提:在VTY下面的访问控制列表),如果把粉红色的这个any改成用host 12.1.1.2 这样一个指定的目的地址,则这个访问控制列表对VTY控制无效(即访问控制列表根本无用)
原因是:VTY(telnet)访问的目的地址肯定为本地接口地址,应用为TCP telnet ,因此VTY控制不需要考虑目的地址的问题,一旦使用扩展列表被access—class引用,目的地址选项只能是any
访问列表的应用:
允许、拒绝数据包通过路由器。允许、拒绝Telnet建立。没有设置访问控制列表时,所有的数据包都会在网络上传输。
访问列表类型:
标准的访问控制列表-(基于IP的编号范围1-99,基于IPX的编号范围800-899)检查源地址,通常允许、拒绝完整的协议
扩展的访问控制列表-(基于IP的编号范围100-199,基于IPX的访问控制列表范围900-999),检查源地址和目的地址,具体的TCP/IP协议和目的端口号,通常允许、拒绝的是某个特定的协议
SAP(基于IPX的编号1000-1099)其它访问列表范围表示不同协议的访问列表
进方向和出方向分别用in和out表示
反掩码指明特定的主机:例如:192.168.1.21 0.0.0.0 检查所有的地址位,可以简写为host 192.168.1.21
反掩码指明所有主机:所有主机0.0.0.0 255.255.255.255 可以用 any简写
访问控制列表放置原则:
将扩展访问列表放置于离源设备较近的位置,将标准访问列表放置于离目的设备较近的位置
访问列表配置准则:
访问列表中的限制语句的位置是至关重要的
将限制条件严格的语句放在访问列表的最上面
使用no access–list number命令将删除整个访问列表 number为配置的访问控制列表编号, 例外:命名访问列表可以删除单独的语句
访问列表中有一条隐藏访问控制--拒绝所有(deny all)
在设置的访问列表中要有一句 permit any
access–list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准的访问控制列表的编号
ip access–group 11 in/out 前提(先进入接口配置模式下) in为进方向out为出方向,缺省下为出方向 11为上面做访问控制列表时用的编号 做完这两步,一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0
用no access–list 11 命令删除访问控制列表,属于这个编号下的访问控制列表全部删除(先进入全局模式下)
用no ip access–group 11 命令在端口上删除访问控制列表(先进入接口模式下)
扩展的访问控制列表的配置 前提(先进入全局配置模式下)
access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80
access–list 101 permit ip any any 扩展访问列表允许所有时,后面要用两个any 标准访问控制列表在允许所有的时候,后面是一个any
101为编号 tcp为协议号 172.16.4.0 0.0.0.255为源地址172.16.3.0 0.0.0.255 为目的地址 eq是等于的意思 80为端口号 上面第一条访问控制列表的意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络,第二条访问控制列表的意思的允许所有
ip access–group101 out 前提(先进入接口配置模式)这条命令是接口上启用访问控制列表并指定方向
命名的访问控制列表的配置(11.2以后的版本才支持)-基于IP和IPX都可以,可以自已定义一个名字 (前提,先进入全局配置模式下)
ip access–list standard/extended cisco cisco为自行定义的名字
deny/permit 172.1.1.0 0.0.0.255 上面选择standard即标准访问控制列表的时候
deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 上面选择extended即扩展访问控制列表的时候
ip access–group cisco in/out 前提(先进入接口配置模式下)在接口上应用命名的访问控制列表,并指定方向
在VTY上面做禁止远程telnet访问
line vty 0 4
password cisco 在VTY下面配置的密码,在VTY下没有密码的时候,远程主机也不能发起telnet访问
login login登陆的意思(在VTY没设密码没做访问控制列表的情况下,这里设成no login远程主机可以telnet登录)
!(退到全局模式下)
access–list 1 deny 30.30.30.0 0.0.0.255(拒绝一个网络访问)
line vty 0 4
access–class 1 in (在VTY模式下开启访问控制列表并配置方向) in 为方向
带ESTABLISHED选项的扩展访问列表
带有Established的扩展访问列表允许内部的用户访问外部网络,而拒绝外部用户访问内部网络。而没有带关键词established的标准访问表和扩展访问表没有这个特性(Feature 下面是配置:(先进入全局模式下)
access–list 101 permit tcp any any established log–input
access–list 101 permit ospf any any
access–list 101 deny ip any any log–input
进入接口模式下
ip access–group 101 in
以上log–input 是为了显示数据报文被过滤的情况。接下来用 debug ip packet detailed 来监视报文经过的情况,因为路由器还有OSPF 的报文产生,因此我们用另外一条扩展访问控制列表对Debug 信息做限制
不监视OSPF的报文,下面为第2条扩展访问控制列表的配置 (先进入全局模式下)
access–list 102permit tcp any any 这里没有做拒绝OSPF的访问控制,但默认拒绝所有会拒绝OSPF
退到特权模式下配置
debug ip packet detail 102 (特权模式下查看debug输出信息命令为show logging )
上面这个案例是基于TCP的应用,任何TCP的通讯都是双向的
注意:TCP协议的第一次发送是SYN字段,这是用来同步准备建立一个新连接的两端主机,而ACK位由接收者置位从而向发送者表明数据已经成功接收,RST (reset)位说明什么时候重新启动连接。带Established的扩展访问列表只允许ACK或RST位置1的TCP报文通过。
动态访问列表
动态访问控制列表的实际应用是,如果用户想通过路由器访问一台主机,用户必须先telnet到这个主机必经过的路由器上面,一旦获得认证,路由器建立临时的访问列表使用户能够到达目的主机,下面开始配置。
假定必经路由器为R1要访问的主机为R2 想通过路由器发起访问的路由器或主机为R3
先在R3上面做允许远程访问的配置,我们把路由器的路由功能关闭代替主机,先进入全局模式下
no ip routing 这条命令关闭路由功能
ip default–gateway 12.1.1.1 (根据接口IP地址指定12.1.1.1为默认网关)
line vty 0 4
no login (可以让远程主机建立telnet连接)
R2没有路由功能,所以要在R1上面做一条与R2相连的静态路由
ip route 2.2.2.0 255.255.255.0 12.1.1.2
然后在必经路由器R1上面建立本地用户名、密码数据库,先进入全局模式下
username onetom password onetom onetom为自行定义的用户名和密码
line vty 0 4
login local
username onetom autocommand access–enable timeout 5(配置动态访问列表的空闲时间为5分钟,即5分钟没有数据通信活动,该访问列表自动删除,要求用户重新进行认证,空闲时间以倒计时方式表示,只要有对应数据报文通过,该计时即会恢复到初始5分钟)
下面开始配置动态访问列表,指定onetom用户,从R3发起访问R2的任何流量需经过认证
access–list 101 dynamic R3-to-R2 permit ip any host 2.2.2.2 log–input dynamic 是动态的意思
access–list 101 permit tcp any host 1.1.1.1 eq telnet log–input
access–list 101 permit ospf any any ospf 为路由器配置的协议
access–list 101 deny ip any any log–input
再进入接口模式下 (例interface serial 2/0)
i access–group 101 in
再进入使用的路由协议模式下
redistribute static subnets (重发布静态路由)
TIME-RANGE访问列表 time-range的意思是时间范围
扩展访问控制列表支持time–range 参数,允许根据一天中的时间段来控制访问,以下是配置案例,使路由器2只能在周一到周五的白天8:00--10:00和周六、日远程telnet访问路由器1
只要在路由器1上面做配置就可以了 下面先来在路由器1上面做个访问控制列表:(进入全局模式下)
access–list 101 permit tcp any any eq telnet time–range R2–to–R1(R1,R2也可以用相对应的接口IP地址表示)
line vty 0 4
access–class 101 in
no login
time–range R2–to–R1
periodic weekdays 8:00 to 10:00 weekdays是星期一至星期五的意思,periodic是周期的意思
periodic weekend 0:00 to 23:59 weekend 是星期六到星期日的意思
在上面这个访问控制列表中access–list 101 permit tcp any any eq telnet time–rangeR2–to–R1(前提:在VTY下面的访问控制列表),如果把粉红色的这个any改成用host 12.1.1.2 这样一个指定的目的地址,则这个访问控制列表对VTY控制无效(即访问控制列表根本无用)
原因是:VTY(telnet)访问的目的地址肯定为本地接口地址,应用为TCP telnet ,因此VTY控制不需要考虑目的地址的问题,一旦使用扩展列表被access—class引用,目的地址选项只能是any
访问列表的应用:
允许、拒绝数据包通过路由器。允许、拒绝Telnet建立。没有设置访问控制列表时,所有的数据包都会在网络上传输。
访问列表类型:
标准的访问控制列表-(基于IP的编号范围1-99,基于IPX的编号范围800-899)检查源地址,通常允许、拒绝完整的协议
扩展的访问控制列表-(基于IP的编号范围100-199,基于IPX的访问控制列表范围900-999),检查源地址和目的地址,具体的TCP/IP协议和目的端口号,通常允许、拒绝的是某个特定的协议
SAP(基于IPX的编号1000-1099)其它访问列表范围表示不同协议的访问列表
进方向和出方向分别用in和out表示
反掩码指明特定的主机:例如:192.168.1.21 0.0.0.0 检查所有的地址位,可以简写为host 192.168.1.21
反掩码指明所有主机:所有主机0.0.0.0 255.255.255.255 可以用 any简写
访问控制列表放置原则:
将扩展访问列表放置于离源设备较近的位置,将标准访问列表放置于离目的设备较近的位置
访问列表配置准则:
访问列表中的限制语句的位置是至关重要的
将限制条件严格的语句放在访问列表的最上面
使用no access–list number命令将删除整个访问列表 number为配置的访问控制列表编号, 例外:命名访问列表可以删除单独的语句
访问列表中有一条隐藏访问控制--拒绝所有(deny all)
在设置的访问列表中要有一句 permit any
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 配置标准访问控制列表------允许指定网段的计算机可以出站访问其它网段的计算机
- 控制访问列表配置
- 利用IP标准访问列表进行网络流量的控制
- 利用IP标准访问列表进行网络流量的控制
- 标准控制访问列表的实现
- 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对Web服务器上的该资源进行了配置
- Cisco路由器配置ACL详解之基于名称的访问控制列表
- Cisco 扩展访问控制列表配置 (结合不同vlan间通信)
- H3C交换机典型访问控制列表(ACL)配置实例
- AR系列路由器包过滤控制访问列表的配置
- 您未被授权查看该页 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对 Web 服务器上的该资源进行了配置
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- CISCO 配置实验 --扩展访问控制列表
- 思科3550交换机访问控制列表的配置
- AR系列路由器包过滤控制访问列表的配置方法
- Cisco路由器配置ACL详解之标准访问列表
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- ACL控制访问列表――标准访问控制列表配置实例
- CCNA入门---访问控制列表-ACL配置实例
- 在路由器上配置动态访问控制列表