==========================access list 簡介=============================
就是一個對封包進行分類的條件清單,當您需要控制網路交通時,她們非常有幫助:
1.用來實作安全原則時,過濾不想要的封包
2.控制網路是否由動態遶送協定所宣傳
==========================access list 規則=============================
1.總是循序的比對存取清單的每一列
2.不斷的比對存取清單,直到符合為止
3.每個存取清單的結尾都會有一列隱含的"拒絕"
==========================access list 種類=============================
1.標準式存取清單(standard access list):使用IP封包中的來源IP位址當做檢驗條件
缺點:無法辨識IP類型,例如WWW,Telnet,UDP, etc.
2.延伸式存取清單(extended access list):可以比對IP封包之第三層與第四層標頭中的許多其他欄位,可以比對
網路層標頭中的來源與目的IP位址與協定欄位,以及傳輸標頭中的port
3.名單式存取盯單(named access list):可以是標準式或延伸式的,只是產生與參考方式不同,但功能是一樣的
==========================access list 語法=============================
Router(config)#access list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599> XNS extended access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
Router(config)#access-list Access-List-number{permit/deny}source-address〔wildcard mask〕
允許單一IP 通過
Router(config)#access-list 10 permit host 172.16.30.5 //允許該IP的主機存取
拒絕單一IP 通過
Router(config)#access-list 10 deny host 172.16.30.5 //拒絕該IP的主機存取
允許範圍網段通過
Router(config)#access-list 10 permit 172.16.16.0 0.0.3.255 //允許172.16.16.0-172.16.19.0
拒絕範圍網段通過
Router(config)#access-list 10 deny 192.168.160.0 0.0.31.255 //拒絕192.168.160.0-192.168.191.255
*P.S.:每個區塊大小必須從0或區塊大小的倍數開始
*P.S.:any命令等於通配遮罩 0.0.0.0 255.255.255.255
==========================標準式存取清單==========================
Router(config)#access-list 1 deny 172.16.128.0 0.0.31.255
Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255
Router(config)#access-list 1 permit any
Router(config)#int Serial 0
Router(config-if)#ip access-group 1 out //拒絕Serial 0讀取該範圍ip
===================標準式存取清單使用VTY(telnet)存取=====================
Router(config)#access-list 50 permit 172.16.10.3
Router(config)#line vty 0 4
Router(config-line)#access-class 50 in //只允許172.16.10.3主機可以telnet至路由器
===========================延伸式存取清單==========================
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21
Router(config)#access-list<100-199>{permitdeny}[通訊協定]source-address〔wildcard mask〕eq[port]
Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23
Router(config)#access-list 110 permit ip any any
Router(config)#int ethernet 1
Router(config-if)#ip access-group 110 out
Router(config-if)#int ethernet 2
Router(config-if)#ip access-group 110 out
===========================名單式存取清單==========================
Router(config)#ip access-list standard {<1-99>Access-list name}
Router(config)#ip access-list standard Sales
Router(config-std-nacl)#deny 172.16.40.0 0.0.0.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#z
Router(config)#int e1
Router(config-if)#ip access-group Sales out
Router(config-if)#z
=========================確認access-list 命令=========================
| 命令 | 效用 |
| show access-list |
顯示路由器上所設定之所有存取清單,以及她們的參數, 但並不顯示配置在哪個介面 |
| show access-list 110 |
只顯示110存取清單的參數,此命令也不顯示這份清單 配置在哪個介面 |
| show ip access-list | 只顯示路由器上所設定之IP存取清單 |
| show ip int | 顯示那些介面設置了存取清單 |
| show running-config | 顯示存取清單與那些介面設置了存取清單 |
Cisco (3)