1、1、访问控制列表的作用。作用就是过滤 实现安全性 具网络可有管理性一、过滤,经过路由器的数据包二、控制增长的网络 IP 数据2、访问控制列表的分类及其特性。一、标准列表只基于 ip 协议来工作,只能针对数据包种的源地址来做审核,由于无法确定具体的目的,所以在使用的过程中,应靠近目的地址,接口应为距目的地址最近的接口,方向为 out。访问控制别表具有方向性,是以路由器做参照物,来定义 out 或者 inout:是在路由器处理完以后,才匹配的条目in:一进入路由器就匹配,匹配后在路由。编号范围为:1-99二、扩展列表可以很据数据包中的源 ip 地址和目的 ip 地址及相应的应用协议来工作,在工作的
2、过程中常用在距源或组源最近的路由器上,接口为距源最近的接口,方向为 in,可以审核三层和四层的信息。编号范围:100-199如何判断应使用哪种类型的访问控制列表标准:针对目的,允许或拒绝特定的源时,使用标准的(当目的唯一,具有多个源访问时。)扩展:针对源地址,允许或拒绝源去往特定的目的。或者在涉及四层信息的审核时通常都会采用扩展列表。 (当源确定下来,具有单个源可有多个目的地址时。 )编号的作用:a,标识表的类型b,列表的名字1.访问列表最后一条都隐含拒绝所有,使用拒绝列表时,必须有条允许语句。2.访问列表按顺序自上而下逐条匹配,当匹配后立即执行,不会继续匹配。3.具有严格限制的条目应该放在列
3、表前。4.删除列表不能有选择删除,若 no access-list X 的一个条目,则这个列表被删除。5.当别表没有被应用时,则是个无效的别表 ,不会影响到数据的审核.6.在书写列表的过程中,应先编辑列表 ,再应用到相应的接口或者策略上.7.当列表过滤掉一个数据包时,会返回给源一个不可达的 icmp 包,然后丢掉或过滤掉包8.访问列表在应用中,标准的应靠近目的,而扩展则靠近源或组源。9.当路由器调用了一个没有条目的列表,则执行列表隐含条目,deny any (拒绝所有)10.在某个接口,某个方向上只能调用一个列表。11.访问控制列表不能过滤自身产生的数据。书写列表的步骤:1.选择要应用的列表类
4、型2.选择要书写的路由器并书写列表3.选择路由器的接口来调用列表实现过滤4.选择应用列表的方向标准访问控制列表的配置1.回顾标准列表的特性2.标准列表的配置语法(通配符)配置的过程中,熟记配置规则1.标准列表: 只基于 ip 协议工作,控制数据包的源地址应用过程中:距目的地址近的路由器和接口2.配置列表的步骤1)选择列表的类型2)选择路由器(是要在哪个上路由器上配置列表)3.)选择要应用的接口(在哪个接口上调用)4)判断列表的方向性(in 和 out:相对路由器)3.标准列表的配置语法1)在全局模式下,书写规则access-list 列表编号 permit/deny 源网络地址 源地址的通配符
5、列表的编号:1-99 和 1300 - 1999通配符:零所对应的位即为精确匹配位。通常所讲的反子掩码255.255.255.0 = 通配符=0.0.0.255255.255.255.255- 正掩码反子网掩码2)调用列表控制数据包经过接口时过滤在接口模式下ip access-group 列表编号 方向主机 ip 0.0.0.0 = host 主机 ip0.0.0.0 255.255.255.255 = any实例:允许 1.0 允许 3。21.拒绝 1.0 拒绝 3.2access-list 1 deny 192.168.1.0 0.0.0.255access-list 1 deny 192
6、.168.3.2 0.0.0.02.拒绝 1.0 允许 1.21.可以审核数据包的源地址和目的地址及协议(端口)2.编号范围为 100-199.3.针对源地址,允许源去往特定的目的,或去特定的目的做什么。4.应用过程中,应靠近源或组源,方向为 in扩展列表的配置语法第一,定义列表access-list 列表编号 permit/deny 大协议 源地址 源的通配符 目的地址 目的通配符 eq 小协议或端口列表编号:100-199大协议:ip /tcp/udp/icmp/其他的路由协议当: 只针对源地址和目的地址来做策略时,大协议通常 ip。当:涉及到具体做什么的时候,才会选择其他协议。eq:是等于的意思小协议和端口:指的是一些应用协议,属于应用层,或者是传输层的端口,通常 1-1024 端口会对应一个具体应用协议例如:http 80 ftp=20,21
