内容导航:
一、在路由器上配置访问控制列表
交换机如下配置,这些不用多说
interface FastEthernet0/1
switchport mode trunk
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 30
switchport mode access
路由器做配置,如下是做单臂路由,因为你说是路由器且VLAN之间通信,常做单臂路由
interface FastEthernet0/0.1 进入子接口
encapsulation dot1Q 10 802.1Q封装VLAN10
ip address 192.168.10.1 255.255.255.0 配IP
ip access-group 1 out 应用访问控制列表1 out=流出
!
interface FastEthernet0/0.2 进入子接口
encapsulation dot1Q 20 802.1Q封装VLAN20
ip address 192.168.20.1 255.255.255.0 配IP
ip access-group 2 out 应用访问控制列表2 out=流出
!
interface FastEthernet0/0.3 如上
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
ip access-group 3 out
!
interface FastEthernet0/1 配一个网外地址,用于测试
ip address 202.1.1.1 255.255.255.0
下面就是你要的答案,配置访问控制列表,不允许VLAN之间通信,但可以访问外网
标准ACL 1 拒接192.168.20.0 192.168.30.0 网段,其他允许。
access-list 1 deny 192.168.20.0 0.0.0.255
access-list 1 deny 192.168.30.0 0.0.0.255
access-list 1 permit any
标准ACL 2 拒接192.168.10.0 192.168.30.0 网段,其他允许。
access-list 2 deny 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.30.0 0.0.0.255
access-list 2 permit any
标准ACL 3拒接192.168.20.0 192.168.10.0 网段,其他允许。
access-list 3 permit 192.168.10.0 0.0.0.255
access-list 3 permit 192.168.20.0 0.0.0.255
access-list 3 permit any
第一次花1个多小时答题,中间还因为断电导致又重新写配置。不懂在问,以思科设备做的,如果要华为也可以追问。但估计不会在花怎么多时间了。 睡觉Zzzz
二、怎样配置路由器的ACL命名访问控制列表
1.配置标准命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置标准命名ACL
Router(config)# ip access-list standard name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-std-nacl)# deny | permit source-ip-addres wildcard-mask [log]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
2.配置扩展命名ACL:其中name就是要配置ACL名称,一般使用英文字母及数字组成
步骤一:配置扩展命名ACL
Router(config)# ip access-list extended name
步骤二:在命名的ACL配置模式下输入相应的语句
Router(config-ext-nacl)# deny | permit protocol | protocol-keyword source-ip wildcard-mask destination-ip wildcard-mask [operator operand][established]
步骤三:将ACL列表应用到相应接口的相应方向
Router(config-if)# IP access-group acl-name {in|out}
三、路由器IP访问列表怎么设置
IP Access-list:IP访问列表或访问控制列表,简称IP ACL
ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤
访问控制列表的作用
内网布署安全策略,保证内网安全权限的资源访问
内网访问外网时,进行安全的数据过滤
防止常见病毒、木马、攻击对用户的破坏
ACL一般配置步骤
1、定义规则(哪些数据允许通过,哪些数据不允许通过);
2、将规则应用在路由器(或三层交换机)的接口上。
两种类型:
标准ACL(standard IP ACL)
扩展ACL (extended IP ACL)
IP标准访问列表的配置
1、定义标准ACL
编号的标准访问列表(路由器和三层交换机支持)Router(config)#access-list <1-99> {permit|deny} 源地址 [反掩码]
命名的标准访问列表(路由器、三层交换机和二层交换机支持)
2、应用ACL到接口
Router(config-if)#ip access-group <1-99> { in | out }
3、命名的标准访问列表(路由器、三层交换机)
switch(config)# ip access-list standard < name >
switch(config-std-nacl)#{permit|deny} 源地址 [反掩码]
switch(config-if)#ip access-group name { in | out }
IP扩展访问列表的配置
1.定义扩展的ACL:
编号的扩展ACL (路由器和三层交换机支持)
Router(config)#access-list <100-199> { permit /deny }
协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
命名的扩展ACL (路由器、三层交换机和二层交换机支持)
switch(config)# ip access-list extended {name}
switch(config)#{ permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]
2.应用ACL到接口:
Router(config-if)#ip access-group <100-199> { in | out }
switch(config-if)#ip access-group name { in | out }
基于时间的访问控制列表
通过基于时间的定时访问控制列表,定义在什么时间允许或拒绝数据包。
只不过在配置ACL之前定义一个时间范围。然后再通过引用这个时间范围来对网络中的流量进行科学合理的限制。
对于不同的时间段实施不同的访问控制规则
在原有ACL的基础上应用时间段
任何类型的ACL都可以应用时间段
基于时间的列表的配置
校正路由器时钟
在全局模式
Clock set hh:mm:ss date month year 设置路由器的当前时间
Clock up_calender 保存设置
配置时间段
时间段
绝对时间段(absolute)
周期时间段(periodic)
混合时间段:先绝对,后周期
Router(config)# time-range time-range-name 给时间段取名,配置ACL时通过名字引用
配置绝对时间
Router(config-time-range)# absolute { start time date [ end time date ] | end time date }
start time date:表示时间段的起始时间。time表示时间,格式为“hh:mm”。date表示日期,格式为“日 月 年”
end time date:表示时间段的结束时间,格式与起始时间相同
示例:absolute start 08:00 1 Jan 2007 end 10:00 1 Feb 2008
配置周期时间
Router(config-time-range)# periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm
periodic { weekdays | weekend | daily } hh:mm to hh:mm
取值 说明
Monday 星期一
Tuesday 星期二
Wednesday 星期三
Thursday 星期四
Friday 星期五
Saturday 星期六
Sunday 星期日
Daily 每天
Weekdays 平时(星期一至五)
Weekend 周末(星期六至日)
示例:periodic weekdays 09:00 to 18:00
3、关联ACL与时间段,应用时间段
在ACL规则中使用time-range参数引用时间段
只有配置了time-range的规则才会在指定的时间段内生效,其它未引用时间段的规则将不受影响
access-list 101 permit ip any any time-range time-range-name
验证访问列表和time-range接口配置
Router# show access-lists !显示所有访问列表配置
Router#show time-range ! 显示time-range接口配置
注:1、一个访问列表多条过滤规则
按规则来进行匹配。
规则匹配原则:
从头到尾,至顶向下的匹配方式
匹配成功,则马上使用该规则的“允许/拒绝……”
一切未被允许的就是禁止的。定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,即deny any any
显示全部的访问列表
Router#show access-lists
显示指定的访问列表
Router#show access-lists <1-199>
显示接口的访问列表应用
Router#show ip interface 接口名称 接口编号
一个端口在一个方向上只能应用一组ACL。
锐捷全系列交换机可针对物理接口和SVI接口应用ACL。
针对物理接口,只能配置入栈应用(In);
针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用。
访问列表的缺省规则是:拒绝所有。
对于标准ACL,应尽量将ACL设置在离目标网络最近的接口,以尽可能扩大源网络的访问范围。
对于扩展ACL,应尽量将ACL设置在离源网络最近的接口,以尽可能减少网络中的无效数据流。