科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道访问表专题

访问表专题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

定义标准包过滤规则,在全局配置状态下access-list 标识号码 deny 或permit 源地址通配符或在全局配置状态下,定义扩展包过滤规则access-list 标识号码 deny或permit 协议标识 源地址 通配符 目地地址 通配符。

作者:中国IT实验室 2007年9月19日

关键字: 包过滤 数据包 访问控制 路由器 ACL

  • 评论
  • 分享微博
  • 分享邮件

一)标准的 IP Access-list 若选用<1 - 99 >中的任意一个号码即表示一个标准的Ip Access-list 产生,标准的IP Acces=list 只对数据包中的IP源地址进行检查限制,因此若要应用一个标准的IP Access-list,我建议将其配置在一个目的端的路由器上.

(二)扩展的IP Access-list 当你要对目的地址,高层协议,高层服务等进行过滤,则需要配置扩展的IP Access-list .其范围号码是<100-199>, 一般来说,在一个源端的路由器上进行此配置.其中,在配置完access-list type 后,你要选一个协议,在这里如果你选了IP,这将表示你的路由器不会对高层的协议或服务进行过滤.所以IP一般要慎选.

例:

/***********************************************************/

RouterA(config)#access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

<1000-1099> IPX SAP access list

<1100-1199> Extended 48-bit MAC address access list

<1200-1299> IPX summary address access list

<200-299> Protocol type-code access list

<300-399> DECnet access list

<400-499> XNS standard access list

<500-599> XNS extended access list

<600-699> Appletalk access list

<700-799> 48-bit MAC address access list

<800-899> IPX standard access list

<900-999> IPX extended access list

/***********************************************************/

RouterA(config)#access-list 110 ?

deny Specify packet

dynamic Specify a DYNAMIC list of PERMITs or DENYs

permit Specify packets to forward

***********************************************************/

RouterA(config)#access-list 110 deny ?

<0-255>An IP protocol number

eigrp Cisco's EIGRP routing protocol

gre Cisco's GRE tunneling

icmp Internet Control Message Protocol

igmp Internet Gateway Message Protocol

igrp Cisco's IGRP routing protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

/***********************************************************/

RouterA(config)#access-list 110 deny tcp ?

A.B.C.D Source address

any Any source host

host A single source host

tcp Transmission Control Protocol

  

  udp User Datagram Protocol

  

  /***********************************************************/

  

  RouterA(config)#access-list 110 deny tcp any ?

  

  A.B.C.D Destination address

  

  any Any destination host

  

  eq Match only packets on a given port number

  

  gt Match only packets with a greater port number

  

  host A single destination host

  

  lt Match only packets with a lower port number

  

  neq Match only packets not on a given port number

  

  range Match only packets in the range of port numbers

  

  /***********************************************************/

  

  RouterA(config)#access-list 110 deny tcp any host

  

  172.16.30.2 ?

  

  eq Match only packets on a given port number

  

  established Match established connections

  

  fragments Check fragments

  

  gt Match only packets with a greater port

  

  number

  

  log Log matches against this entry

  

  log-input Log matches against this entry,including

  

  inputinterface

  

  lt Match only packets with a lower port number

  

  neq Match only packets not on a given port

  

  number

  

  precedence Match packets with given precedence value

  

  range Match only packets in the range of port

  

  numbers

  

  tos Match packets with given TOS value

  

  

  

  /***********************************************************/

  

  RouterA(config)#access-list 110 deny tcp any host

  

  172.16.30.2 eq ?

  

  <0-65535> Port number

  

  bgp Border Gateway Protocol (179)

  

  chargen Character generator (19)

  

  cmd Remote commands (rcmd,51 4)

  

  daytime Daytime (13)

  

  discard Discard (9)

  

  domain Domain Name Service (53)

  

  echo Echo (7)

  

  /***********************************************************/

  

  RouterA(config)#access-list 110 deny tcp any host

  

  172.16.30.2 eq 23 log

  

  exec Exec (rsh,512)

  

  finger Finger (79)

  

  ftp File Transfer Protocol (21)

  

  ftp File Transfer Protocol (21)

  

  gopher Gopher (70)

  

  hostname NIC hostname server (101)

  

  ident Ident Protocol (113)

  

  irc Internet Relay Chat (194)

  

  klogin Kerberos login (543)

  

  kshell Kerberos shell (544)

  

  login Login (rlogin,513)

  

  lpd Printer service (515)

  

  nntp Network News Transport Protocol (119)

  

  pop2 Post Office Protocol v2 (109)

  

  pop3 Post Office Protocol v3 (110)

  

  smtp Simple Mail Transport Protocol (25)

  

  sunrpc Sun Remote Procedure Call (111)

  

  syslog Syslog (514)

  

  tacacs TAC Access Control System (49)

  

  talk Talk (517)

  

  telnet Telnet (23)

  

  time Time (37)

  

  uucp Unix-to-Unix Copy Program (540)

  

  whois Nicname (43)

  

  www World Wide Web (HTTP,80)

  

  最后不要忘了在端口激活这个Access-list,否则它是不会起作用的!

  

  RouterA(config-if)#ip access-group 110 in

  

  or

  

  RouterA(config-if)#ip access-group 110 out访问表的包过滤规则:

  

  1、标准包过滤 该种包过滤只对数据包中的源地址进行检查

  

  2、扩展包过滤 该种包过滤对数据包中的源地址,目的地址,协议及端口号进行检查。

  

  包过滤功能配置

  

  1、定义标准包过滤规则,在全局配置状态下access-list 标识号码 deny 或permit 源地址通配符或在全局配置状态下,定义扩展包过滤规则access-list 标识号码 deny或permit 协议标识 源地址 通配符 目地地址 通配符。

  

  可以在指定范围内任意选择一个标识号码定义相应的包过滤规则,deny参数表示禁止,pernit表示允许。通配符也为32位二进制数字,并与相应的地址一一对应。路由器将检查与通配符中的“0”(2进制)位置一样的地址位,对于通配符中“1”(2进制)位置一致的地址位,将忽略不检查。

  

  一个包过滤规则可以包含一系列检查条件,即可以用同一标识号码定义一系列access-list语句,路由器将从最先定义的条件开始依次检查,如数据包满足某个条件,路由器将不再执行下面的包过滤条件,如果数据包不满足规则中的所有条件,Cisco路由器缺省为禁止该数据包,即丢掉该数据包。

  

  2、在需要包过滤功能的端口,引出包过滤规则

  

  ip access-group包过滤规则标识号in或out,其中in 表示对进入该端口的数据包进行检查,out表示对要从该端口送出的数据包进行检查。如果不进行步骤2的配置,则所定义的包过滤规则根本不会执行。

  

  实例:

  Currrent configuration:

  

  !

  

  version 11.3

  

  no service password-encryption

  

  !

  

  hostname 2511-1

  

  !

  

  enable password cisco

  

  !

  

  username 2505 password 0 cisco

  

  no ip domain-lookup

  

  !

  

  interface Ethernet0

  

  ip address 192.4.1.1 255.255.255.0

  

  ip access-group 101 in

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章