“网络工程师培训”基础教程:标准访问控制列表和扩展访问控制列表
标准访问控制列表概况
标准列表的规则序列号的范围为:1∼99。
标准列表只使用 1 个条件判别数据包:数据包的源地址。
标准访问列表可以指定一个源地址段,这是由 IP 地址和地址通配符组合定义的一个地址段。
标准访问控制列表的命令配置
此格式表示:允许或拒绝来自指定网络的数据包,该网络由IP地址(ip-address)和地址通配掩码位(wildcard-mask)指定。其中:
normal 和 special 表示该规则是在普通时间段中有效还是在特殊时间段中有效。
listnumber 为规则序号,标准访问列表的规则序号范围为 1-99。
permit 和 deny 表示允许或禁止满足该规则的数据包通过。
ip-address 和 wildcard-mask 分别为 IP 地址和通配比较位,用来指定某个网络。如果 IP 地址指定为 any ,则表示所有 IP 地址,而且不需配置指定相应的通配位(通配位缺省为 0.0.0.0 )。
扩展访问控制列表概况
扩展列表使用数据包的源地址的同时,还使用目的地址,和协议号(TCP、UDP 等)。
对于TCP、UDP 协议可以同时使用目的端口号。
例如,利用扩展列表可以描述“从 202.110.10.0/24 的网段到 110.10.10.0/24 的网段的所有IP数据包是被拒绝的”,或者“从202.110.10.0/24 网段到110.10.10.0/24 网段的所有 Telnet(使用 TCP 协议的 23 端口)访问是被拒绝的”。它们到底如何表示?我们将从具体配置命令来入手来介绍。
扩展访问控制列表的配置命令
Normal 和 special 表示该规则是在普通时间段生效还是在特殊时间段有效,缺省的情况是在普通时间段。
Listnumber 为规则序号,扩展访问列表的规则序号范围为 100-199。
Permit 和 deny 表示允许或禁止满足该规则的数据包通过。
Protocol 可以指定为 0-255 之间的任一协议号(如1 表示 ICMP 协议),对于常见协议(如 TCP 和 UDP、ICMP),可以直观地指定协议名,若指定为 IP ,则该规则对所有IP包均起作用。
source -addr 和 source-mask 分别为源地址和源地址的通配符。
Dest-addr 和 dest-mask 分别为目的地址和目的地址的通配符。如果 IP 地址指定为 any ,则表示所有 IP 地址,而且不需配置指定相应的通配位(通配位缺省为0.0.0.0) 。
operator port1 - port2 用于指定端口范围,缺省为全部端口号0-65535,只有 TCP 和 UDP 协议需要指定端口范围。operate 的意义如下页表所示。
扩展访问列表的操作符 operate 定义
在指定portnumber时,对于常用的端口号可以使用“助记符”代替。如FTP、Telnet 等。
下列表格所列为可能用到的各类端口号与助记符的对照表,供参照*。
对于 ICMP 协议可以指定 ICMP 报文类型,缺省为全部 ICMP 报文。指定ICMP报文类型时,可以用数字(0-255),也可以用助记符。助记符如下:
扩展访问控制列表的举例
多条规则的组合
可以使用相同的序号,建立多条规则,构成一个访问控制列表。
对于两条有冲突的规则或是有地址重叠的情况,判断的依据是“深度”,也就是描述的地址范围越小的,将会优先考虑。例如:
access-list 1 permit 202.38.160.0 0.0.255.255
access-list 1 deny 202.38.160.0 0.0.0.255
对于 202.38.160.23 这样的地址,访问列表是认为是拒绝的。因为第二条指定的地址范围小。
访问列表的生效
为了使访问控制列表生效,将访问控制列表定义在接口上。
具体命令配置如下页所示。
访问列表在接口生效的命令配置