CiscoIOS访问控制列表号码.docx
《CiscoIOS访问控制列表号码.docx》由会员分享,可在线阅读,更多相关《CiscoIOS访问控制列表号码.docx(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、安全Cisco IOS访问掌握列表号码访问掌握列表号码描述199 IP标准访问掌握列表100199 IP扩展访问掌握列表20()299协议类型代码访问掌握列表300399 DECnet访问掌握列表400499 XNS标准访问掌握列表6500599 XNS扩展访问掌握列表6(X)699ApplcTak访问掌握列表700799 48比特MAC地址访问掌握列表800899 IPX标准访问掌握列表900999 IPX扩展访问掌握列表 1000-1099 IPS SAP访问掌握列表 11001199扩展48比特MAC地址访问掌握列表 12(X)-1299 IPX汇总地址访问掌握列表 13001999 I
2、P标准访问掌握列表(扩大范围)20222699 IP扩展访问掌握列表(扩大范围) 标准访问掌握列表RTA(config)#acccss-list access-1 ist-number pcrmit|dcny source source-wildcard log 扩展访问掌握列表RTA(conflg)#access-list access-1 ist-number permit|denyprotocol source source-wildcard destination destination-wildcard |precedence precedencetos tosjcstablishc
3、d logtime-range timc-rangc-namc 由名字索引的访问掌握列表句法(11. 2版本前不支持) 标准.RTA(config)#ip access-list standard name 用名字定义1 .RTA(config-std-nacl)#permit|deny source source-wildcard|anylog/才旨 定一个或多个允许或拒绝条件.RTA(config-sid-nacl)#exit 退出 扩展(实例)RTA(config)#ip access-list extended WEBONLYRTA(conllg-exl-nacl)#permit te
4、p any 10.0.0.0 0.255.255.255 eq 80RTA(config-ext-nacl)#deny ip any 10.0.0.0 0.255.255.255 RTA(config-ext-nacl)#pcrmit ip any anyRT A(con fig-exl-nacl )#AZ 可以通过show access-lists查看 基于时间的扩展访问掌握列表(1201 (T)开头支持) RTA(config)#time-range NO-RTA(config-time-range)#periodic weekdays 8:00 to 18:00 RTA(config-t
5、ime-range)#exitRTA(config)#timc-rangc UDP-YESRTA(config-time-range)#periodic weekend 12:00 to 20:00RTA(config-time-range)#exitRTA(conflg)#ip access-list extended STRICTRTA(config-ext-nacl)#deny tcp any any eq time-range NO-RTA(config-ext-nacl)#pcnnit udp any any time-range UDP-YES7RTA(config-ext-nac
6、l)#dcny udp any any range nctbios-ns nctbios-ssRTA(config-ext-nacl)#permit ip any any可以使用remark命令来描述访问掌握列表(1202之后)应用访问掌握列表到接口RTA(config-it)#ip access-group access-list-number|access-list-name in|out对路由器的VTY线路施加访问掌握列表RTA(config)#access-list 5 permit 200.1RTA(config)#acccss-list 5 RTA(config)#line vty
7、 0 4RTA(config-line)#access-class 5 in对路由器WEB端口施加访问掌握列表RTA(config)#acccss-list 17 RTA(config)#ip serverRTA(config)#ip access-class 17动态访问掌握列表:LOCK-and-KEYiock-and-key使指定用户能获得对受保护资源的临时访问权操作步骤:1 .用户向一台配置了lock-and-key特性的防火墙路由器发起一个Telnet会话。2 . Cisco收到Telnet数据包,翻开个Telnet会话,提示输入密码认证.用户通过防火墙中的临时通道交换数据3 .当到
8、达一个预先配置好的超时限制后,或治理员手工去除后,IOS将删除该临时性 访问掌握列表条目。RTA(config)#access-list access-list-number dynamic dynamic-nametimeoutminutes denylpcnnit protocol source-address source-wildcarddestination-address destination-wildcard配置一个动态访问掌握列表RTA(config)#acccss-list 101 permit tcp any host 192.168.1.1 cq telnetRTA(c
9、onfig)#access-list 101 dynamic UNLOCK timeout 120 permit ip any anyRTA(config)#int sORTA(conflg)#ip access-group 101 inLock-and-Key需要用到认证,因此需要配置一台安全效劳器其中TACACS +通过TCP供给认证、授权和审计效劳,而RADIUS使用不太牢靠的UDP协议RTA(config)#tacacs-server host itsasecretRTA(config)#aaa new-modelRTA(config)#aaa authentication login
10、 default tacacs+ enable8配置路由器用本地数据库来认证VTY用户RTA(config)#uscrnamc crnic password bertRTA(config)#line vty 0 4RTA(config)#login local配置LOCK-AND-KEY特性的最终步骤是在动态访问掌握列表中创立一个临时性的访问控 制列表条目:RTA#access-enable hosttime-out minutes使用HOST关键字将只为用户所用的单个IP地址源创立。为了设置LOCK-AND-KEY特性,我们可以配置,VTY线路让路由器自动公布“access-enable”
11、命令然后切断用户的TELNET会话。RTA(conflg)#line vty 0 4RTA(config-line)#autocomniand access-enable host timeout 20 使用带“established”参数的扩展访问掌握列表六个TCP 代码比特:URG (Urgent,紧急)、ACK (Acknowledgement,确认)、PSH(Push, 推送)、RST(Reset,复位)、SYN (Synchronization,同步)和 FIN (Finish,完毕)三次握手过程所发送的第一个数据包的SYN比特被设置为1.ACK比特和RST比特被设置 为0,从其次个
12、数据包起,会话流中全部包的TCP头标中的ACK或RST比特都被设置为1,因此被邀请进入网络的数据流总会有其中一个比特被设置为1,这种数据流被认为是已建立 (established)会话的一局部。使用Cisco IOS我们可以配置一个扩展访问掌握列表依据数岫包必碘)制命改建康遮腋阿rm局部匹例168.0 0.0.0.255 establishedRTA(config)#access-list 101 permit iemp any anyRTA(config)#acccss-list 101 permit ip any anyEstablished参数仅限于TCP数据流自反访问掌握列表(Refl
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CiscoIOS 访问 控制 列表 号码
限制150内