当前位置:文档之家› 标准访问控制列表 和 扩展访问控制列表

标准访问控制列表 和 扩展访问控制列表

001 实验:先将2台路由器配置成静态路由 要全部都通

002 按要求在B OUT方向做一个ACL 禁止192.168.0.0 网段的机器过来
RB(config)#ip access-list standard 1

RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
----------------------注意 思科的区别 是用反码
RB(config-std-nacl)#permit any

003 在端口OUT方向禁止
RB(config)#int f0/0
RB(config-if)#ip acc
RB(config-if)#ip access-group 1 out
——————————————————

如果这个时候在A路由器上加多一个3.0的网段 就可以ping通了

————————————————————————————
————————————————————————————————
004 做一个实验 不加permit any

RB(config)#ip access-list standard 1

RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
————————————————————————————

005 再做一个IN方向的实验 看怎么才能做???按要求在B IN方向做一个ACL 禁止192.168.0.0 网段的机器过来
——————————————————————


006 先将刚才的ACL表去掉
C #no ip access-list standard 1

如何去掉端口的限制???




no ip access-group 1 out
看是否恢复正常
________________________________________

007 现在来禁止单个主机IP地址
RB(config)#ip access-list standard 1
RB(config-std-nacl)#deny 192.168.0.2
RB(config-std-nacl)#permit any

这个时候如果加多一个0.3 会发现OK了
——————————————————————————

008 按要求在B IN方向做一个ACL 禁止192.168.0.0 网段的机器过来;如果这样做行不行?
RB(config)#ip access-list standard 1

RB(config-std-nacl)#deny 192.168.0.0 0.0.0.255
RB(config)#int s2/0

RB(config-if)#ip access-group 1 in


————————————————————————————


009 按要求在B IN方向做一个ACL 只允许主机192.168.0.2机器过来OUT

RB(config)#ip access-list standard 1

RB(config-std-nacl)#permit host 192.168.0.2
B(config-std-nacl)#deny any
——————————————————————————————————

扩展访问控制列表


扩展IP访问控制列表的编号为100至199,并且功能更加灵活。例如,要阻止192.168.0.45主机Telnet流量,而允许Ping流量。


RA(config)#ip access-list extended 120

RA(config-ext-nacl)#deny tcp ?

RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 255.255.255.0 eq

RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 255.255.255.0 eq ?

RA(config-ext-nacl)#deny tcp 192.168.3.0 0.0.0.255 192.168.2.2 0.0.0.0 eq 23
——————————————————————————————————————————

deny(禁止) 协

议 源IP地址/网段 反掩码 目的IP地址/网段 反掩码 eq 端口

------------------注意 扩展访问控制列表 这句是用反掩码

就比如 你是IP对IP 那就是:
ROA(config)# deny ip 10.651.1 0.0.0.255 10.74.1.1 0.0.0.0

 ******禁止A网段(源网段)下的某协议(或某端口)访问B网段(目的网段)
router(config)#access-list 表号 permit ip any any
注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 **********进入想要应用此ACL的接口
router(config-if)#ip access-group 表号 out/in ******激活该接口下咋访问控制列表,并根据实际情况设置此接口为OUT/in。
————————————————————————————————————————————


RA(config-ext-nacl)#permit icmp any any
因为Ping命令使用网络层的ICMP协议,所以让ICMP协议通过。而Telnet使用端口23,所以将端口号为23的数据包拒绝了,最终应用到某一接口,这样就可以达到目的。




相关主题
文本预览
相关文档 最新文档