控制访问列表（ACCESSLIST）

    大家今天介绍一下访问控制列表，那为什么要用访问控制列表呢？比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想……
    老师说挺好用的我在这和大家分享一下，废话少说，我们开始，先来介绍一下ACL。
    那使用ACL的目的是什么呢？在性能和安全上介绍一下：
    ?性能
    对网络设计中特定的用户进行控制
    拒绝网络之间进行访问
    管理网络中逐步增长的 IP 数据
    ?安全
    可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源
    当数据通过路由器时进行过滤
    控制访问列表有两种：标准的控制访问列表和扩展的控制访问列表。
    ?标准
    检查源地址
    通常允许、拒绝的是完整的协议
    能够对源地址进行过滤，是一种简单，直接的数据控制手段
    ?扩展
    检查源地址和目的地址
    通常允许、拒绝的是某个特定的协议
    除了基于数据包源地址的过滤以外，还能够对协议，目的地址，端口号进行网络流量过滤。当然，配置也更复杂
    控制访问列表的一般用法：
    ?限制对网络的FTP访问
    ?禁止一个子网到另一个子网的访问
    ?允许规定主机Telnet访问路由器
    如：不允许指定的主机TELNET访问
    访问列表的配置指南：
    ?访问列表的编号指明了使用何种协议的访问列表
    ?每个端口、每个方向、每条协议只能对应于一条访问列表
    ?访问列表的内容决定了数据的控制顺序
    ?具有严格限制条件的语句应放在访问列表所有语句的最上面
    ?在访问列表的最后有一条隐含声明：deny any－每一条正确的访问列表都至少应该有一条允许语句
    ?先创建访问列表，然后应用到端口上
    ?访问列表不能过滤由路由器自己产生的数据
    标准访问列表的一般配置举例：
    Router#
    Router#configure terminal
    Router（config）#
    Router（config）#access-list 1 permit 172.16.2.0 0.0.0.255
    配置的访问列表是允许来自网络172.16.2.0的流量
    ?Router#configure terminal
    ?Router（config）#
    ?Router（config）#access-list 2 deny 172.16.3.0 0.0.0.255
    ?Router（config）#access-list 2 permit any
    ?Router（config）#int s0
    ?Router（config-if）#ip access-group 2 out
    ?Router（config-if）#
    禁止来自网络172.16.3.0的流量！！！
    扩展访问列表的一般配置举例：
    access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
    access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
    access-list 101 permit ip any any
    （implicit deny all）
    （access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255）
    ?拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0
    ?允许其它数据
    access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
    access-list 101 permit ip any any
    （implicit deny all）
    ?拒绝子网 172.16.4.0 内的主机使用路由器的端口建立Telnet会话
    ?允许其它数据
    我们来比较一下标准的和扩展的异同：
    标准：
    基于源地址
    允许和拒绝完整的
    TCP/IP协议
    编号范围 1-99和1300-1999
    扩展：
    基于源地址和目标地址
    指定TCP/IP的特定协议
    和端口号
    编号范围 100-199和2000-2699
    我们指定特定的主机时一般用通配符掩码指明，下面我举几个例子：
    例如 172.30.16.29 0.0.0.0 检查所有的地址位 可以简写为 host （host 172.30.16.29）
    所有主机： 0.0.0.0 255.255.255.255 可以用 any 简写
    好了我们来做一个扩展访问列表的实验来验证并巩固一下我们今天的学习。
    实验要求：三台路由器，r1 r2 r3 拒绝r3通过r2向r1做telnet
    实验的大致步骤：
    1、给路由器命名
    2、开启telnet功能并设置密码
    3、配置ip
    4、配置时钟频率
    5、关闭自动汇总
    6、配置rip用版本2，实现基本的通信
    7、r2上配置访问控制列表
    8、验证：r3 telnet r1失败
    实验大致拓扑如图：

　　考试大温馨提示：本内容来源于网络，仅代表作者个人观点，与本站立场无关，仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题，请您谅解。如有侵犯您的权利，请联系我们，本站会立即予以处理。