欢迎来到天天文库
浏览记录
ID:40543742
大小:32.00 KB
页数:4页
时间:2019-08-04
《ccnp笔记--ACL》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、ACLStandard1-99标准的访问列表Extended100-199扩展的访问列表路由器对自己产生的包不作过滤Showipaccess-list注意在接口下调用ACL,不要破坏邻居关系和路由的传输Access-list100permitip2.2.2.20.0.0.0host3.3.3.3允许2访问3Access-list100permitospfanyany允许路由信息过去默认的deny语句No10在命名访问列表中去掉一条语句10permiticmphost2.2.2.2host3.3.3.3加入一条语句15permittcpanyanyICMP去的时候是ec
2、ho包,回来的时候是echo-reply包10permiticmphost2.2.2.2host3.3.3.3echo只允许echo包过去10permiticmphost2.2.2.2host3.3.3.3echo-reply只允许echo-reply包过去ACL可在VTY下调用,但只能用标准列表Access-list100permittcphost1.1.1.1host3.3.3.3eqtelnet只允许1.1.1.1能够telnet到3.3.3.3上去Access-list100permitospfanyanyAccess-list100permittcphost
3、1.1.1.1eqtelnethost3.3.3.3只允许1.1.1.1的23端口访问3.3.3.3的任意端口Linevty04Access-class10in在VTY接口下调用,作用同上, 但要注意只能用标准列表,不能用扩展列表,用扩展列表不起作用。Access-list10permit1.1.1.1telnet3.3.3.3/sourceinterfacelo0动态ACLdynamicACL思路:让主机先在网关服务器认证,才能出去在服务器上先允许主机登录网关服务器,通过认证后,动态生成一条允许主机通过的ACL1、usernameciscopasswordcisco
4、设主机名和密码2、ipaccess-listextendedwolf定义命名访问列表并在入口调用permittcphost12.1.1.2host12.1.1.1eqtelnet1、linevty04起用用户名和密码loginlocal2、ipaccess-listextenedewolfdynamicgzpermitiphostanyanydynamicgxtimeout5permitipanyany作用同上,注意这里的5分钟是绝对时间,表示你只能上5分钟3、linevty04在line下调用autocommandaccess-enablehosttimeout1这
5、里的1分钟是相对时间,只要在1分钟内有联系就不会断开,不加这一时间表示不超时R1#access-enablehosttimeout1在特权模式下调用EstablishACL允许ACK/RST=1的TCP报文通过,通常用于只允许内部的主机向外部发起TCP连接,不允许外部的主机向本网发起TCP连接Ipaccess-listextended1005permittcphost3.3.3.3eqtelnethost12.1.1.2establish注意这条语句的方向性,允许源的23端口访问我的任意端口,但ASK必须置位10denyipanyany注意在外网的入口上调用这一列表将
6、路由器模拟成主机Noiprouting关闭路由功能Ipdefault-gateway12.1.1.1指网关
此文档下载收益归作者所有