1、CCNA筆記 Access Lists Managing Traffic with Aess Lists Introduction to Aess Lists 訪問列表(aess list,ACL)的主要作用是過濾你不想要的數據包.設置ACL的一些規則: 1.按順序的比較,先比較第一行,再比較第二行.直到最后1行 2.從第一行起,直到找到1個符合條件的行;符合以后,其余的行就不再繼續比較下去 3.默認在每個ACL中最后1行為隱含的拒絕(deny),如果之前沒找到1條許可(permit)語句,意味著包將被丟棄.所以每個ACL必須至少要有1行permit語句,除非你想想所有數據包丟棄 2種主要的訪

2、問列表: 1.標準訪問列表(standard aess lists):只使用源IP地址來做過濾決定 2.擴展訪問列表(extended aess lists):它比較源IP地址和目標IP地址,層3的協議字段,層4端口號來做過濾決定 利用ACL來過濾,必須把ACL應用到需要過濾的那個router的接口上,否則ACL是不會起到過濾作用的.而且你還要定義過濾的方向,比如是是想過濾從Inter到你企業網的數據包呢還是想過濾從企業網傳出到Inter的數據包呢?方向分為下面2種: 1.inbound ACL:先處理,再路由 2.outbound ACL:先路由,再處理 一些設置ACL的要點: 1.每個接口

3、,每個方向,每種協議,你只能設置1個ACL 2. _好你的ACL的順序,比如測試性的最好放在ACL的最頂部 3.你不可能從ACL從除去1行,除去1行意味你將除去整個ACL,命名訪問列表(named aess lists)例外(稍后介紹命名訪問列表) 4.默認ACL結尾語句是deny any,所以你要記住的是在ACL里至少要有1條permit語句 5.記得創建了ACL后要把它應用在需要過濾的接口上 6.ACL是用于過濾經過router的數據包,它并不會過濾router本身所產生的數據包 7.盡可能的把IP標準ACL放置在離目標地址近的地方;盡可能的把IP擴展ACL放置在離源地址近的地方 Stan

4、dard Aess Lists 介紹ACL設置之前先介紹下通配符掩碼(wildcard _sking).它是由0和255的4個8位位組組成的.0代表必須精確匹配,255代表隨意,比如: 55,這個告訴router前3位的8位位組必須精確匹配,后1位8位位組的值可以為任意值.如果你想指定到,則通配符掩碼為55(15-8=7) 配置IP標準ACL,在特權模式下使用aess-lists 范圍數字 permit/deny any/host命令.范圍數字為1到99和1300到1999;permit/deny分別為

5、允許和拒絕;any為任何主機,host為具體某個主機(需要跟上IP地址)或某1段 我們來看1個設置IP標準ACL的實例: router有3個LAN的連接1個Inter的連接.現在,銷售部的用戶不允許訪問金融部的用戶,但是允許他們訪問市場部和Inter連接.配置如下: Router(config)#aess-list 10 deny 55 Router(config)#aess-list 10 permit any 注意隱含的deny any,所以末尾這里我們要加上permit any,any等同于 55.接下來把AC

6、L應用在接口上,之前說過了盡可能的把IP標準ACL放置在離目標地址近的地方,所以使用ip aess-group命令把ACL 10放在E1接口,方向為出,即out.如下: Router(config)#int e1 Router(config-if)#ip aess-group 10 out Controlling VTY(Tel) Aess 使用IP標準ACL來控制VTY線路的訪問.配置步驟如下: 1.創建個IP標準ACL來允許某些主機可以tel 2.使用aess-class命令來應用ACL到VTY線路上 實例如下: Router(config)#aess-list 50 permit 172

7、.16.10.3 Router(config)#line vty 0 4 Router(config-line)#aess-class 50 in 如上,進入VTY線路模式,應用ACL,方向為進來,即in.因為默認隱含的deny any,所以上面的例子,只允許IP地址為的主機tel到router上 Extended Aess Lists 擴展ACL:命令是aess-list ACL號 permit/deny 協議 源地址 目標地址 操作符 端口 log.ACL號的范圍是100到199和2000到2699;協議為TCP,UDP等,操作符號有eq(表等于),gt(大于),lt

8、(小于)和neq(非等于)等等;log為可選,表示符合這個ACL,就記錄下這些日志 來看1個配置擴展ACL的實例: 假如要拒tel和FTP到絕位于金融部的主機,配置如下: Router(config)#aess-list 110 deny tcp any host eq 21 Router(config)#aess-list 110 deny tcp any host eq 23 Router(config)#aess-list 110 permit ip any any 記住默認隱含的deny all.應用到E1接口,注意

9、方向為out,如下: Router(config)#int e1 Router(config-if)#ip aess-group 110 out Named Aess Lists 命名訪問列表是創建標準和擴展訪問列表的另外1種方法.它允許你使用命名的方法來創建和應用標準或者擴展訪問列表.使用ip aess-list命令來創建,如下: Router(config)#ip aess-list ? extended Extended A logging Control aess list logging standard Standard Aess List Router(config)#ip ae

10、ss-list standard ? Standard IP aess-list number WORD Aess-list name Router(config)#ip aess-list standard BlockSales Router(config-std-nacl)#? Standard Aess List configuration _nds: default Set a _nd to its defaults deny Specify packets to reject exit Exit from aess-list configuration mode no Negate

11、a _nd or set its default permit Specify packets to forward Router(config-std-nacl)#deny 55 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#Z Router#sh run (略) ! ip aess-list standard BlockSales deny 55 permit any ! (略) 接下來應用到接口上,如下: Router(config)#int 1 Router(config-if)#ip aess-group BlockSales out Router(config-if)#Z Router# Monitoring Aess Lists 一些驗證ACL的命令,如下: 1.show aess-list:顯示router上配置了的所有的ACL信息,但是不顯示哪個接口應用了哪個ACL的信息 2.show aess-list number:顯示具體第幾號ACL信息,也不顯示哪