设为首页   锐捷官网
用其他帐号登录:
查看: 1470|回复: 0

[网关] 老版NBR【9.X平台】 >> ACL >> 常见咨询

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-6-1 17:43:55 | 显示全部楼层 |阅读模式
本帖 * 后由 锐捷服务中心 于 2015-6-1 17:44 编辑

1、NBR路由器支持的ACL种类有哪些?
NBR(config)#access-list ?
      <1-99>       IP standard access list
      <100-199>    IP extended access list
      <1300-1999>  IP standard access list (expanded range)
      <2000-2699>  IP extended access list (expanded range)
      <3000-3099>  IP address range standard access list
      <3100-3199>  IP address range extended access list
        <4000-4199>    MAC access list

从上面的信息可以看出,NBR路由器的ACL共分成7类,
1-99是标准访问列表,
100-199是扩展访问列表,
1300-1999是标准扩展Range的访问列表, 同标准ACL一样
3000-3099是标准的基于IP range的访问列表,
3100-3199是扩展的基于IP地址范围的访问列表    //是NBR特有的ACL,通其他ACL不同,可以设置为一段地址
4000-4199是基于MAC地址的访问列表,       //NBR2000/NBR28-21不支持MAC地址的访问列表。

下面是对ACL 3100-3199 的举例:
比如内网要设置禁止192.168.1.2 到192.168.1.20 不能上网,详细的配置命令如下:
NBR2000(config)#access-list 3198 deny ip ?   
  A.B.C.D  Source address range begins with     //源地址的起始地址
  any      Any source host
  host     A single source host

NBR2000(config)#access-list 3198  deny  ip 192.168.1.2 ?
  A.B.C.D  Source address range ends with     //源地址的终止地址

NBR2000(config)#access-list 3110  deny  ip 192.168.1.2 192.168.1.20 any ?
  precedence  Match packets with given precedence value
  time-range  Match packets with given timerange set
  tos         Match packets with given TOS value
  <cr>        
NBR2000(config)#access-list 3110   deny  ip 192.168.1.2 192.168.1.20 any
NBR2000(config)#access-list 3110 permit ip any any  
NBR2000(config)#int g0/0                                                
NBR2000(config-if)# ip access-group 3110 in         //接口调用ACL 3110 禁止内网用户,1.2--1.20上网,其他网段地址不受限制。

2、NBR路由器常用的ACL配置?
access-list 3198 deny tcp any any eq 135     //病毒端口:冲击波、震荡波
access-list 3198 deny tcp any any eq 139     //病毒端口:魔波
access-list 3198 deny tcp any any eq 445     //病毒端口:冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137   //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any

access-list 3199 deny icmp any any echo     //禁止从外网ping路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
3198列表默认应用于内网口,3199列表默认应用于外网口,如果需要修改列表必须先在接口下取消应用,再进行编辑列表。 * 后设置好的列表记住需要在接口上重新调用。

3、NBR路由器如何限制管理IP(只允许某个IP管理)?
        限制管理IP是针对TELNET或WEB来说的,对console口无效。

(1)限telnet管理主机配置如下:   
NBR (config)#access-list 11 permit 192.168.1.27   0.0.0.0  //定义一条ACL,允许一个主机192.168.1.27
NBR(config)#line vty 0 4  //进入TELNET模式
NBR(config-line)#access-class 11 in  //应用ACL,只允许192.168.1.27的主机进行TELNET配置。

(2)限制WEB管理主机配置如下:
  NBR2500(config)#access-list 100 permit ip host 192.168.1.2 any        //定义ACL100 允许192.168.1.2 访问所有
NBR2500(config)#access-list 100 permit ip host 192.168.1.3 any        //定义ACL100 允许192.168.1.3 访问所有
NBR2500(config)#access-list 100 deny ip any host 192.168.1.1           //定义除了192.168.1.2和192.168.1.3其他都不允许访问192.168.1.1
NBR2500(config)#acessl-list 100 permit ip any any                           //定义所有IP访问外网
NBR2500(config)#int g0/0
NBR2500(config-if)#ip access-group 100 in                                     //应用到接口上,只允许192.168.1.2和192.168.1.3访问192.168.1.1


4、NBR路由器内网用户只允许打开网页,禁止其他应用?
配置思路:放通80和53(DNS)端口
NBR(config)#access-list 101 permit tcp any any eq 80
NBR(config)#access-list 101 permit udp any any eq 53
NBR(config)#int   f0/0                    //进入内网口
NBR(config-if)#ip access-group 101   in               //在内网口调用ACL
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。


5、NBR路由器如何配置拒绝部分IP上网?
配置思路:想要实现禁止内网192.168.1.10-192.168.1.20的电脑上网
NBR1200#config                            // 进入全局配置模式
NBR1200(config)#access-list 3198 deny ip 192.168.0.10 192.168.0.20 any
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表,拒绝192.168.0.10-20这11个IP地址通过,其它地址不做限制
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198,拒绝以上IP地址通过
NBR1200(config-if)#end                             // 退回特权模式
NBR1200#write                                       // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。


6、NBR路由器如何拒绝去访问外网某一个地址?
配置思路:想要实现禁止内网用户去访问外网202.108.19.1
NBR1200#config                            // 进入全局配置模式
NBR1200(config)# access-list 3198 deny ip any host 202.108.19.1
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表,拒绝内网去访问外网IP为222.222.222.222的地址
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end                             // 退回特权模式
NBR1200#write                                       // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。


7、NBR路由器如何配置内网主机在工作日(周一至周五)8:00-18:00允许上网,其他时间段不能上网?
配置思路:
1、首先定义时间

NBR1200#config                            // 进入全局配置模式
NBR1200(config)#time-range time1   //定义时间段,名字命名为time1
NBR1200(config-time)#periodic Weekdays 8:00 to 18:00
NBR1200(config-time)#exit
NBR1200(config)#access-list 3198   permit any   any  time-range time1
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end                             // 退回特权模式
NBR1200#write                                       // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。


8、NBR系列可以支持多少条MAC过滤?
      目前支持可配置16条

9、NBR是否支持配置不允许客户机或路由器跟踪tracert NBR,但是允许ping的功能?
不支持。取消路由跟踪命令如
access-list 3198 deny icmp any any echo
access-list 3198 deny icmp any any time-exceeded
access-list 3198 permit ip any any
以上命令配置后路由跟踪(tracert)失效但是同时也禁止ping


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则