先决条件–
访问列表(ACL)
访问列表(ACL)是为控制网络流量和减少网络攻击而定义的一组规则。 ACL用于根据为网络的传入或传出定义的一组规则过滤流量。
这些是仅使用源IP地址制成的访问列表。这些ACL允许或拒绝整个协议套件。他们不会区分IP通信(例如TCP, UDP, Https等)。通过使用数字1-99或1300-1999, 路由器会将其理解为标准ACL, 并将指定地址作为源IP地址。
特征 -
- 标准访问列表通常应用于靠近目的地的位置(但并非总是如此)。
- 在标准访问列表中, 拒绝整个网络或子网。
- 标准访问列表使用范围1-99和扩展范围1300-1999。
- 标准访问列表仅使用源IP地址实现。
- 如果使用标准访问列表编号, 则记住规则不能删除。如果其中一项规则被删除, 则整个访问列表将被删除。
- 如果使用标准访问列表命名, 则可以灵活地从访问列表中删除规则。
注意 -与扩展访问列表相比, 标准访问列表使用较少, 因为整个IP协议套件将被允许或拒绝用于该流量, 因为它无法区分不同的IP协议流量。
配置–
这是一个小型拓扑, 其中有3个部门, 分别是销售, 财务和营销。具有网络172.16.40.0/24的销售部门, 具有网络172.16.50.0/24的财务部门和具有网络172.16.60.0/24的营销部门。现在, 要拒绝销售部门与财务部门之间的连接, 并允许其他人访问该网络。
现在, 首先配置编号的标准访问权限–列表, 用于拒绝从销售到财务部门的任何IP连接。
R1# config terminal
R1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
在这里, 就像扩展访问列表一样, 你不能指定要允许或拒绝的特定IP通信。另外, 请注意, 已使用通配符掩码(0.0.0.255, 这表示子网掩码255.255.255.0)。从数字标准访问列表范围使用10。
R1(config)# access-list 110 permit ip any any
现在, 你已经知道每个访问列表的末尾都有一个隐式拒绝, 这意味着如果流量与访问列表的任何规则都不匹配, 则流量将被丢弃。
通过指定任何方式, 具有任何ip地址流量的源都将到达财务部门, 但该流量必须与你制定的上述规则相匹配。
现在, 你必须在路由器的接口上应用访问列表:
R1(config)# int fa0/1
R1(config-if)# ip access-group 10 out
如你所记得, 标准访问列表通常应用于目标, 并且在此处如果你将访问列表应用于目标附近, 它也会满足我们的需求, 因此, 已应用接口fa0 / 1的出站。
命名标准访问列表示例–
现在, 考虑相同的拓扑, 你将创建一个命名的标准访问列表。
R1(config)# ip access-list standard blockacl
通过使用此命令, 你创建了一个名为blockacl的访问列表。
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255
R1(config-std-nacl)# permit any
然后在编号访问列表中进行相同的配置。
R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out
Telnet示例的标准访问列表–
如你所知, 你无法在标准访问列表中指定要拒绝的特定IP流量, 但是可以通过在vty行上应用访问列表来使用标准访问列表来允许或拒绝telnet连接。
在给定的图中, 你想从任何网络拒绝telnet到财务部门。配置相同:
R1(config)# access-list 10 deny any
R1(config)# line vty 0 4
R1(config-line)# access-class 10 out