ccnp笔记--ACL.docVIP

ACL Standard 1-99 标准的访问列表 Extended 100-199 扩展的访问列表 路由器对自己产生的包不作过滤 Show ip access-list 注意在接口下调用ACL，不要破坏邻居关系和路由的传输 Access-list 100 permit ip 2.2.2.2 0.0.0.0 host 3.3.3.3 允许2访问3 Access-list 100 permit ospf any any 允许路由信息过去 默认的deny语句 No 10 在命名访问列表中去掉一条语句 10 permit icmp host 2.2.2.2 host 3.3.3.3 加入一条语句 15 permit tcp any any ICMP 去的时候是echo包，回来的时候是echo-reply包 10 permit icmp host 2.2.2.2 host 3.3.3.3 echo 只允许echo包过去 10 permit icmp host 2.2.2.2 host 3.3.3.3 echo-reply 只允许echo-reply包过去 ACL可在VTY下调用，但只能用标准列表 Access-list 100 permit tcp host 1.1.1.1 host 3.3.3.3 eq telnet 只允许1.1.1.1能够telnet到3.3.3.3上去 Access-list 100 permit ospf any any Access-list 100 permit tcp host 1.1.1.1 eq telnet host 3.3.3.3 只允许1.1.1.1的23端口访问3.3.3.3的任意端口 Line vty 0 4 Access-class 10 in 在VTY接口下调用，作用同上,? 但Access-list 10 permit 1.1.1.1 telnet 3.3.3.3 /source interface lo0 动态ACL dynamic ACL 思路：让主机先在网关服务器认证，才能出去 在服务器上先允许主机登录网关服务器，通过认证后，动态生成一条允许主机通过的ACL username cisco password cisco 设主机名和密码 ip access-list extended wolf 定义命名访问列表并在入口调用 permit tcp host 12.1.1.2 host 12.1.1.1 eq telnet line vty 0 4 起用用户名和密码 login local ip access-list extenede wolf dynamic gz permit ip host any any dynamic gx timeout 5 permit ip any any 作用同上，注意这里的5分钟是绝对时间，表示你只能上5分钟 line vty 0 4 在line下调用 autocommand access-enable host timeout 1 这里的1分钟是相对时间，只要在1分钟内有联系就不会断开，不加这一时间表示不超时 R1#access-enable host timeout 1 在特权模式下调用 Establish ACL 允许ACK/RST=1的TCP报文通过，通常用于只允许内部的主机向外部发起TCP连接，不允许外部的主机向本网发起TCP连接 Ip access-list extended 100 5 permit tcp host 3.3.3.3 eq telnet host 12.1.1.2 establish 注意这条语句的方向性，允许源的23端口访问我的任意端口，但ASK必须置位 10 deny ip any any 注意在外网的入口上调用这一列表 将路由器模拟成主机 No ip routing 关闭路由功能 Ip default-gateway 12.1.1.1 指网关