扩展访问控制列表.pptVIP

扩展IP访问列表 教师：钟伟 目的 配置扩展访问列表来过滤IP流量 在路由器上验证扩展访问列表 扩展IP访问列表 比标准访问控制列表有更多的匹配项。 与标准IP访问控制列表工作原理相同。 比标准访问列表检查包中更多项来实现更精确的匹配。 包头数据： 扩展IP访问控制列表 可被匹配的条件： 源IP地址 源IP地址使用通配符掩码的部分 目的IP地址 目的IP地址使用通配掩码的部分 协议类型（TCP，UDP，ICMP，IGRP和IGMP等） 源端口 目的端口 建立连接的－－匹配第一TCP流的所有TCP流 IP TOS IP优先级 扩展IP访问列表 如果一句语句所有匹配项都被匹配，则采用该语句中预定义的动作。 有一个匹配项不能匹配，则该语句被跳过。 access-list-number范围: 100－199 配置命令 access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log|log-input][time-range time-range-name] ip access-group {number|name[in|out] } access-class number|name[in|out] 扩展IP访问列表EXEC命令 show ip interface [type number] //显示接口上允许的访问列表 show access-list [access-list-number|access-list-name] //显示所有的协议的配置访问列表的细节 show ip access-list [access-list-number|access-list-name] //显示IP访问列表 例子 access-list 101 deny tcp any host 10.1.1.1 eq 23 //拒绝任何源地址的包；目的地址是10.1.1.1的使用TCP，端口为23的包。 access-list 101 deny tcp any host 10.1.1.1 eq telnet //与上个例子相同，只是端口用关键字来表示 access-list 101 deny udp 1.0.0.0 0.255.255.255 lt 1023 44.1.2.3 0.0.255.255 //拒绝从1.0.0.0来的使用44.1开头的使用小于1023的UDP包 注意 注意参数的顺序，检验端口号时，如端口参数放在源地址后，则检验源端口，若放在目的地址后，则检验目的端口。 举例 Access-list 101 deny tcp any eq 23 any 与 Access-list 101 deny tcp any any eq 23 的区别 区别：前者是拒绝使用tcp且源端口为23 后者是所有的使用TCP且目的端口号 为23的包 放置访问列表的原则 1、访问列表尽可能靠近包的来源处 2、将匹配频率最高的语句放在访问列表的顶端 3、保证不会改变需要实现功能的基础上实现以上两个原则 例子 例子 要求 只允许24.17.2.16子网段的机器用telnet命令访问网络。 Router1(config)#access-list 101 permit tcp 24.17.2.16 0.0.0.15 any eq telnet log Router1(config)#interface s0 Router1(config-if)#ip access-group 101 in 测试 Router3＃ping 24.17.2.17 Router3＃telnet 24.17.2.17 Router1#show access-list 例子 允许所有来自24.17.2.0子网的主机访问网络： Router1(config)# access-list 102 permit ip 24.17.2.0 0.0.0.15 any log Router1(config)#interface e0 Router1(config-if)#ip access-group 102 in 测试 Router2＃ping 24.17.2.18 作业 要求 利用IGRP协议连通。 禁止172.16.9.1-172.16.9.100的主机访问网络。 阻止PC3子网段机器使用telnet命令访问网络。 要求允许PC1利