ACL总结(有时间写自反访问控制列表)

分类：标准和扩展

 

1. 标准：只能过滤源地址，号码范围  1-99；

access-list [list number] [permit|deny] [host/any] [sourceaddress] [wildcard-mask] [log]

例子：

access-list 1 permit 192.168.1.10 0.0.0.0

access-list 1 permit host 192.168.1.10

上面两条是等效的

 

access-list 1 permit any   

允许所有

注：访问控制列表的配置顺序很重要，因为它使由前向后匹配的，一旦找到匹配，就不再继续向下匹配。

 

2. 扩展：基于IP的扩展访问控制列表，号码范围 100-199；

此外还有IP expanded access list    ：1300-2699

  <1-99>                 IP standard access list
  <100-199>           IP extended access list
  <1000-1099>       IPX SAP access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1200-1299>       IPX summary address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>           Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <2700-2799>       MPLS access list
  <300-399>           DECnet access list
  <600-699>           Appletalk access list
  <700-799>           48-bit MAC address access list
  <800-899>           IPX standard access list
  <900-999>           IPX extended access list

 

 

access-list [list number] [permit|deny] [protocol] [source address] [source-wildcard]

[source-port] [destination address]  [destination-wildcard] [destination-port] [log] [option]

 

 

protocol选项包含：

  <0-255>  An IP protocol number 
  ahp      Authentication Header Protocol
  eigrp    Cisco's EIGRP routing protocol
  esp      Encapsulation Security Payload
  gre      Cisco's GRE tunneling
  icmp     Internet Control Message Protocol
  igmp     Internet Gateway Message Protocol
  ip       Any Internet Protocol
  ipinip   IP in IP tunneling
  nos      KA9Q NOS compatible IP over IP tunneling
  ospf     OSPF routing protocol
  pcp      Payload Compression Protocol
  pim      Protocol Independent Multicast
  tcp      Transmission Control Protocol
  udp      User Datagram Protocol

 

在这里注意IP和TCP得过滤，如果同时存在，那么TCP的应该靠前。即允许或拒绝某个IP的TCP连接。

常用服务  协议                    端口

    1.    POP3                 TCP 110

    2.    IMAP                 TCP 143

    3.    SMTP                TCP 25

    4.    Telnet               TCP 23

    5.    终端服务             TCP 3389

    6.    TFTP                 UDP  69

    7.    HTTP                TCP 80

    8.    NTP                  UDP  123

    9.    HTTPS              TCP 443

    10.  FTP                  控制TCP 21      FTP 默认数据 TCP 20

    11.  RADIUS             UDP 1645

    12.  DHCP                服务器 UDP 67

    13.  DNS                 UDP 53  DNS TCP 53

    14.  SNMP               UDP 161

    15   ipsec                UDP 500

    16   PPTP                TCP 1723

    17   L2TP                UDP 1701

 

扩展的IP访问表支持很多选项。常用的选项是established，该选项只用于TCP协议并且只在TCP通信流的一个方向上来响应由另一端发起的会话。为了实现该功能，使用estab1ished选项的访问表语句检查每个 TCP报文，以确定报文的ACK或RST位是否已设置。

例如，考虑如下扩展的IP访问表语句:
access-list 101 permit tcp any host 192.168.1.10 established
该语句的作用是:只要报文的ACK和RST位被设置，该访问表语句就允许来自任何源地址的TCP报文流到指定的主机198.78.46.8。这意味着主机192.168.1.10 此前必须发起TCP会话。

 

 

 3.命名访问控制列表

命名访问控制列表配置实例
router(config)#ip access-list extended cisco
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group cisco  in