a)创建一个访问控制列表
Router(config)#access-list ?
<1-99> IP standard access list #标准的访问控制列表号
<100-199> IP extended access list #扩展的访问控制列表号
Router(config)#access-list 1 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
#为访问控制列表添加一个陈述
Router(config)#access-list 1 permit ?
A.B.C.D Address to match
any Any source host
host A single host address
Router(config)#access-list 1 permit 192.168.1.1 ?
A.B.C.D Wildcard bits #此处配置一个通配符掩码
<cr>
Router(config)#access-list 1 permit any ?
<cr>
Router(config)#access-list 1 permit host ?
A.B.C.D Host address
Router(config)#access-list 1 permit host 192.168.1.1 ?
<cr>
Router(config)#access-list 1 permit 192.168.1.1 0.0.0.0
或
Router(config)#access-list 1 permit host 192.168.1.1 ←这两个配置的效果是等价的
标准访问列表的一般语法:
Router(config)#access-list access_list_number {permit/deny/remark} source_ip_address wildcard_bits
Router(config)#no access-list access_list_number
#删除整个访问控制列表,需要注意的是访问控制列表不允许单独删除某一行测试条件,如果这样做了它将会删除整个访问控制列表。
b)在一个接口上应用访问列表
Router(config)#interface fa0/1
Router(config-if)#ip access-group ?
<1-199> IP access list (standard or extended)
WORD Access-list name
Router(config-if)#ip access-group 1 ?
in inbound packets
out outbound packets
Router(config-if)#ip access-group 1 in ?
<cr>
Router(config-if)#ip access-group 1 in
在一个接口上应用访问列表的语法:
Router(config-if)#ip access-group access_list_number {in/out} #这里的in/out应该以路由器为参照物。
Router(config-if)#no ip access-group access_list_number #从接口中删除访问列表。
②扩展的访问列表
这种访问列表可以测试IP数据包的第3层和第4层报头中的其他字段。他们可以测试源IP地址和目的IP地址、网络层报头中的协议字段,以及位于传输层报头中的端口号。这使得扩展的访问控制列表有能力在控制流量时做精细度更大的决定。
可以使用访问列表号100~199或2000~2699(扩展的范围)创建扩展的访问列表。路由器通过检查访问列表号为100~199或2000~2699就可以知道这是一条扩展的访问列表,接下来路由器将会分析测试行中的源IP地址和目的IP地址、网络层报头中的协议字段,以及位于传输层报头中的端口号。
Router(config)#access-list 101 deny ?
eigrp Cisco's EIGRP routing protocol
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config)#access-list 101 deny tcp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 101 deny tcp host 192.168.1.1 ?
A.B.C.D Destination address
any Any destination host
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
Router(config)#access-list 101 deny tcp host 192.168.1.1 172.16.1.1 0.0.255.255 ?
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
<cr>
Router(config)#access-list 101 deny tcp host 192.168.1.1 172.16.1.1 0.0.255.255 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
Router(config)#access-list 101 deny tcp host 192.168.1.1 172.16.1.1 0.0.255.255 eq www
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 59260
发表于 2017-11-3 10:37:36
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2017-11-3 10:41:40
