access-list访问列表.doc

ACCESS-LIST访问列表 访问列表的介绍 路由器中的访问列表可以实现网络允许或拒绝的访问请求。相当于网络中防火墙功能。 思科路由器中的访问列表包括两种：标准型访问控制列表 与 扩展型访问控制列表。 通过先在全局模式下建立访问控制列表，然后再将控制列表在路由器指定接口指定数据流向上，即可完成拒绝或允许。 网络上的防火墙有两种： 一种包过滤， 另一种是应用层网关。 思科路由器的访问列表，属于包过滤型防火墙，其可以对数据包中的发送端地址、发送端端口、接收端端口、网络协议等进行检测与判定。 访问列表并不能完全抵御所有入侵，因此在网络中，各计算机仍需要建立相应保护措施。 访问列表的数据流向 入站访问控制列表——通过某一个接口进入路由器的数据流，该列表会作用在该类数据流上 出站访问控制列表——通过某一个接口离开路由器的数据流，访问控制列表会作用在该类数据流上。 注意在路由器的任何一个网络接口上均会存在两类访问列表即出站与入站 三、路由器访问列表的两种类型 从访问列表的检测项目进行分类 1.标准型访问控制列表： 它的访问控制列表编号范围是1—99，并且只能检测数据包中的发送端地址。 2.扩展型访问控制列表:该类访问控制列表编号范围100—199,并且该类列表可以检测,发送端目标地址\发送端与目标端端口\使用网络协议. 四、访问控制列表对数据包检测方法： 有 有 无 无 五、标准型访问控制列表的配置方法： 1、访问控制列表的配置步骤： 确保网络全部连通 在路由器全局配置模式下建立标准型访问控制列表。 将在全局模式下建立的访问列表绑定到某一个指定接口的指定数据流向上。 2、访问控制列表的配置命令： 在路由器全局配置模式下建立访问控制列表 access-list 标准访问控制列表的编号 动作 源地址 说明：标准访问列表的编号为1~99； 动作即包括，permit 与deny,允许与拒绝 源地址：指出满足该访问列表的发送端地址，格式如下： 一个单独的IP——192.168.1.1 0.0.0.0 一个单独的IP——host 192.168.1.1 一个指定的网络——192.168.2.0 0.0.0.255 一个指定的网络——192.168.3.32 0.0.0.31 所有网络——0.0.0.0 255.255.255.255 所有网络——any 注意的是这里的后一个位置不是子网掩码，而是子网掩码通配符。它主要用于规定IP地址或网络号中哪些位必须符合条件，访问控制列表才会检测。将IP地址或网络号的二进制与通配符的二进制进行比较，如果通配符二进制位是0，则对应的IP地址或网络号二进制必须匹配，只有匹配才表示满足访问列表条件。 注：访问控制列表，都含有隐式语名——deny any 如：access-list 1 permit 192.168.0.0 0.0.0.255 3、将建立完成的访问控制列表，绑定在路由器指定接口的指定数据流向上 在路由器接口模式下，绑定哪个接口就必须在对应的接口模式下 ip access-group 访问列表的编号 流向 说明：访问控制列表编号即已经成功建立的访问控制列表号 查看：show access 流向即，在任何一个接口均有两种数据流向，即in 和out 如：int s0 ip access-group 1 in 上述所创建的访问控制列表编号为1，但只进行指定了网络192.168.0.0而其它的网络并未做说明. 在所有访问控制列表的末尾,均存在一条隐式语句:deny any，拒绝所有。 因此，在任何一个访问控制列表中，必须要有permit语句。 如果在访问控制列表中要求拒绝某一个网络： access-list 1 permit any access-list 1 deny 192.168.0.0 0.0.0.255 注意绑定的接口位置，如果位置不好可能会起不到作用。如下例： 避免其它网络中的计算机访问当前网络。 access-list 1 permit 192.168.2.0 0.0.0.255 同时将上述列表绑定的ROUTER的局域网接口上 ip access-group 1 out 分析：为什么不能绑定在广域网接口的IN流向上？ 3、在路由器上配置访问控制列表，限制只允许指定的计算机telnet到