IP訪問控制列表（ACL）

 IP訪問控制列表（ACL）

爲何要使用訪問列表

管理網絡中逐步增加的 IP 數據

當數據經過路由器時進行過濾

訪問列表的應用

容許、拒絕數據包經過路由器

容許、拒絕Telnet會話的創建

沒有設置訪問列表時，全部的數據包都會在網絡上傳輸

什麼是訪問列表--（標準，擴展）

標準

檢查源地址

一般容許、拒絕的是完整的協議

擴展

檢查源地址和目的地址

一般容許、拒絕的是某個特定的協議

什麼是訪問列表

進方向和出方向 

訪問列表配置指南

訪問列表的編號指明瞭使用何種協議的訪問列表

每一個端口、每一個方向、每條協議只能對應於一條訪問列表

訪問列表的內容決定了數據的控制順序 

具備嚴格限制條件的語句應放在訪問列表全部語句的最上面

在訪問列表的最後有一條隱含聲明：deny any－每一條正確的訪問列表都至少應該有一條容許語句

先建立訪問列表，而後應用到端口上

訪問列表不能過濾由路由器本身產生的數據

標準訪問列表和擴展訪問列表比較

標準

基於源地址                         容許和拒絕完整的TCP/IP協議             編號範圍1-99和1300-1999

擴展

基於源地址和目標地址         指定TCP/IP的特定協議和端口號         編號範圍100-199和2000-2699

配置

標準IP訪問列表的配置

Router(config)#

access-list access-list-number {permit|deny} source [mask]

爲訪問列表設置參數

IP 標準訪問列表編號 1 到 99

缺省的通配符掩碼 = 0.0.0.0

「no access-list access-list-number」 命令刪除訪問列表

Router(config-if)#

ip access-group access-list-number  { in | out }

在端口上應用訪問列表

指明是進方向仍是出方向

「no ip access-group access-list-number」 命令在端口上刪除訪問列表

擴展 IP 訪問列表的配置

Router(config)#

access-list access-list-number  { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ]  

設置訪問列表的參數

Router(config-if)# ip access-group access-list-number  { in | out }

在端口上應用訪問列表

查看訪問列表的語句

wg_ro_a#show {protocol} access-list {access-list number} 

wg_ro_a#show access-lists {access-list number} 

wg_ro_a#show access-lists 

Standard IP access list 1

    permit 10.2.2.1

    permit 10.3.3.1

    permit 10.4.4.1

    permit 10.5.5.1

Extended IP access list 101

    permit tcp host 10.22.22.1 any eq telnet

    permit tcp host 10.33.33.1 any eq ftp

    permit tcp host 10.44.44.1 any eq ftp-data