|
本帖 * 后由 锐捷服务中心 于 2015-6-1 17:44 编辑
1、NBR路由器支持的ACL种类有哪些?
NBR(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1300-1999> IP standard access list (expanded range)
<2000-2699> IP extended access list (expanded range)
<3000-3099> IP address range standard access list
<3100-3199> IP address range extended access list
<4000-4199> MAC access list
从上面的信息可以看出,NBR路由器的ACL共分成7类,
1-99是标准访问列表,
100-199是扩展访问列表,
1300-1999是标准扩展Range的访问列表, 同标准ACL一样
3000-3099是标准的基于IP range的访问列表,
3100-3199是扩展的基于IP地址范围的访问列表 //是NBR特有的ACL,通其他ACL不同,可以设置为一段地址
4000-4199是基于MAC地址的访问列表, //NBR2000/NBR28-21不支持MAC地址的访问列表。
下面是对ACL 3100-3199 的举例:
比如内网要设置禁止192.168.1.2 到192.168.1.20 不能上网,详细的配置命令如下:
NBR2000(config)#access-list 3198 deny ip ?
A.B.C.D Source address range begins with //源地址的起始地址
any Any source host
host A single source host
NBR2000(config)#access-list 3198 deny ip 192.168.1.2 ?
A.B.C.D Source address range ends with //源地址的终止地址
NBR2000(config)#access-list 3110 deny ip 192.168.1.2 192.168.1.20 any ?
precedence Match packets with given precedence value
time-range Match packets with given timerange set
tos Match packets with given TOS value
<cr>
NBR2000(config)#access-list 3110 deny ip 192.168.1.2 192.168.1.20 any
NBR2000(config)#access-list 3110 permit ip any any
NBR2000(config)#int g0/0
NBR2000(config-if)# ip access-group 3110 in //接口调用ACL 3110 禁止内网用户,1.2--1.20上网,其他网段地址不受限制。
2、NBR路由器常用的ACL配置?
access-list 3198 deny tcp any any eq 135 //病毒端口:冲击波、震荡波
access-list 3198 deny tcp any any eq 139 //病毒端口:魔波
access-list 3198 deny tcp any any eq 445 //病毒端口:冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137 //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any
access-list 3199 deny icmp any any echo //禁止从外网ping路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
3198列表默认应用于内网口,3199列表默认应用于外网口,如果需要修改列表必须先在接口下取消应用,再进行编辑列表。 * 后设置好的列表记住需要在接口上重新调用。
3、NBR路由器如何限制管理IP(只允许某个IP管理)?
限制管理IP是针对TELNET或WEB来说的,对console口无效。
(1)限telnet管理主机配置如下:
NBR (config)#access-list 11 permit 192.168.1.27 0.0.0.0 //定义一条ACL,允许一个主机192.168.1.27
NBR(config)#line vty 0 4 //进入TELNET模式
NBR(config-line)#access-class 11 in //应用ACL,只允许192.168.1.27的主机进行TELNET配置。
(2)限制WEB管理主机配置如下:
NBR2500(config)#access-list 100 permit ip host 192.168.1.2 any //定义ACL100 允许192.168.1.2 访问所有
NBR2500(config)#access-list 100 permit ip host 192.168.1.3 any //定义ACL100 允许192.168.1.3 访问所有
NBR2500(config)#access-list 100 deny ip any host 192.168.1.1 //定义除了192.168.1.2和192.168.1.3其他都不允许访问192.168.1.1
NBR2500(config)#acessl-list 100 permit ip any any //定义所有IP访问外网
NBR2500(config)#int g0/0
NBR2500(config-if)#ip access-group 100 in //应用到接口上,只允许192.168.1.2和192.168.1.3访问192.168.1.1
4、NBR路由器内网用户只允许打开网页,禁止其他应用?
配置思路:放通80和53(DNS)端口
NBR(config)#access-list 101 permit tcp any any eq 80
NBR(config)#access-list 101 permit udp any any eq 53
NBR(config)#int f0/0 //进入内网口
NBR(config-if)#ip access-group 101 in //在内网口调用ACL
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。
5、NBR路由器如何配置拒绝部分IP上网?
配置思路:想要实现禁止内网192.168.1.10-192.168.1.20的电脑上网
NBR1200#config // 进入全局配置模式
NBR1200(config)#access-list 3198 deny ip 192.168.0.10 192.168.0.20 any
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表,拒绝192.168.0.10-20这11个IP地址通过,其它地址不做限制
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198,拒绝以上IP地址通过
NBR1200(config-if)#end // 退回特权模式
NBR1200#write // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。
6、NBR路由器如何拒绝去访问外网某一个地址?
配置思路:想要实现禁止内网用户去访问外网202.108.19.1
NBR1200#config // 进入全局配置模式
NBR1200(config)# access-list 3198 deny ip any host 202.108.19.1
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表,拒绝内网去访问外网IP为222.222.222.222的地址
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end // 退回特权模式
NBR1200#write // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。
7、NBR路由器如何配置内网主机在工作日(周一至周五)8:00-18:00允许上网,其他时间段不能上网?
配置思路:
1、首先定义时间
NBR1200#config // 进入全局配置模式
NBR1200(config)#time-range time1 //定义时间段,名字命名为time1
NBR1200(config-time)#periodic Weekdays 8:00 to 18:00
NBR1200(config-time)#exit
NBR1200(config)#access-list 3198 permit any any time-range time1
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end // 退回特权模式
NBR1200#write // 保存配置
如果修改修改策略,首先先取消接口调用,然后再对ACL进行编辑,否则会引起断网。
8、NBR系列可以支持多少条MAC过滤?
目前支持可配置16条
9、NBR是否支持配置不允许客户机或路由器跟踪tracert NBR,但是允许ping的功能?
不支持。取消路由跟踪命令如
access-list 3198 deny icmp any any echo
access-list 3198 deny icmp any any time-exceeded
access-list 3198 permit ip any any
以上命令配置后路由跟踪(tracert)失效但是同时也禁止ping
|
|