标准访问列表
先决条件 - 访问列表 (ACL)
访问列表 (ACL) 是为控制网络流量和减少网络攻击而定义的一组规则。 ACL 用于根据为网络的传入或传出定义的规则集过滤流量。
标准访问列表 –
这些是仅使用源 IP 地址制作的访问列表。这些 ACL 允许或拒绝整个协议套件。它们不区分 TCP、UDP、HTTPS 等 IP 流量。通过使用数字 1-99 或 1300-1999,路由器会将其理解为标准 ACL,并将指定地址理解为源 IP 地址。
特征 -
- 标准访问列表通常应用在目的地附近(但并非总是如此)。
- 在标准访问列表中,整个网络或子网络都被拒绝。
- 标准访问列表使用范围 1-99 和扩展范围 1300-1999。
- 标准访问列表仅使用源 IP 地址实现。
- 如果使用标准访问列表编号,则无法删除记住规则。如果其中一条规则被删除,则整个访问列表将被删除。
- 如果使用标准访问列表命名,那么您可以灵活地从访问列表中删除规则。
注意 –与扩展访问列表相比,标准访问列表使用较少,因为整个 IP 协议套件将被允许或拒绝流量,因为它无法区分不同的 IP 协议流量。
配置 -
这是一个小型拓扑,其中有 3 个部门,即销售、财务和营销。销售部网络172.16.40.0/24,财务部网络172.16.50.0/24,市场部网络172.16.60.0/24。现在,想要拒绝从销售部门到财务部门的连接,并允许其他人访问该网络。
现在,首先配置编号标准访问 - 拒绝从销售到财务部门的任何 IP 连接的列表。
R1# config terminal
R1(config)# access-list 10 deny 172.16.40.0 0.0.0.255
在这里,就像扩展访问列表一样,您不能指定要允许或拒绝的特定 IP 流量。另请注意,已使用通配符掩码(0.0.0.255 表示子网掩码 255.255.255.0)。 10 用于数字标准访问列表范围。
R1(config)# access-list 110 permit ip any any
现在,正如您已经知道的那样,每个访问列表的末尾都有一个隐式拒绝,这意味着如果流量不匹配访问列表的任何规则,那么流量将被丢弃。
通过指定任何方式,具有任何 IP 地址流量的源将到达财务部门,但符合您制定的上述规则的流量除外。
现在,您必须在路由器的接口上应用访问列表:
R1(config)# int fa0/1
R1(config-if)# ip access-group 10 out
正如您所记得的,标准访问列表通常应用于目的地,如果您在目的地附近应用访问列表,它将满足我们的需求,因此,已应用到接口 fa0/1 的出站。
命名标准访问列表示例 –
现在,考虑相同的拓扑,您将创建一个命名的标准访问列表。
R1(config)# ip access-list standard blockacl
通过使用此命令,您创建了一个名为 blockacl 的访问列表。
R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255
R1(config-std-nacl)# permit any
然后在编号的访问列表中进行相同的配置。
R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out
Telnet 示例的标准访问列表 –
如您所知,您无法在标准访问列表中指定要拒绝的特定 IP 流量,但可以通过在 vty 行上应用访问列表,使用标准访问列表允许或拒绝 telnet 连接。
在这里,在给定的图中,您要拒绝从任何网络远程登录到财务部门。配置相同:
R1(config)# access-list 10 deny any
R1(config)# line vty 0 4
R1(config-line)# access-class 10 out