老版NBR【9.X平台】 >> ACL >> 常见咨询

锐捷服务中心 · 发表于 2015-6-1 17:43:55

本帖 * 后由锐捷服务中心于 2015-6-1 17:44 编辑

1、NBR路由器支持的ACL种类有哪些？
NBR(config)#access-list ?
   <1-99>    IP standard access list
   <100-199> IP extended access list
   <1300-1999>  IP standard access list (expanded range)
   <2000-2699>  IP extended access list (expanded range)
   <3000-3099>  IP address range standard access list
   <3100-3199>  IP address range extended access list
      <4000-4199> MAC access list

从上面的信息可以看出，NBR路由器的ACL共分成7类，
1－99是标准访问列表，
100－199是扩展访问列表，
1300－1999是标准扩展Range的访问列表, 同标准ACL一样
3000－3099是标准的基于IP range的访问列表，
3100－3199是扩展的基于IP地址范围的访问列表 //是NBR特有的ACL，通其他ACL不同，可以设置为一段地址
4000－4199是基于MAC地址的访问列表，    //NBR2000/NBR28-21不支持MAC地址的访问列表。

下面是对ACL 3100-3199 的举例:
比如内网要设置禁止192.168.1.2 到192.168.1.20 不能上网，详细的配置命令如下：
NBR2000(config)#access-list 3198 deny ip ?
  A.B.C.D  Source address range begins with    //源地址的起始地址
  any    Any source host
  host    A single source host

NBR2000(config)#access-list 3198  deny  ip 192.168.1.2 ?
  A.B.C.D  Source address range ends with    //源地址的终止地址

NBR2000(config)#access-list 3110  deny  ip 192.168.1.2 192.168.1.20 any ?
  precedence  Match packets with given precedence value
  time-range  Match packets with given timerange set
  tos       Match packets with given TOS value
  <cr>
NBR2000(config)#access-list 3110 deny  ip 192.168.1.2 192.168.1.20 any
NBR2000(config)#access-list 3110 permit ip any any
NBR2000(config)#int g0/0
NBR2000(config-if)# ip access-group 3110 in       //接口调用ACL 3110 禁止内网用户，1.2--1.20上网，其他网段地址不受限制。

2、NBR路由器常用的ACL配置？
access-list 3198 deny tcp any any eq 135    //病毒端口：冲击波、震荡波
access-list 3198 deny tcp any any eq 139    //病毒端口：魔波
access-list 3198 deny tcp any any eq 445    //病毒端口：冲击波、震荡波、魔波
access-list 3198 deny udp any any eq 137 //137、138、139为netbios端口
access-list 3198 deny udp any any eq 138
access-list 3198 deny udp any any eq 139
access-list 3198 permit ip any any

access-list 3199 deny icmp any any echo    //禁止从外网ping路由器
access-list 3199 deny tcp any any eq 135
access-list 3199 deny tcp any any eq 139
access-list 3199 deny tcp any any eq 445
3198列表默认应用于内网口，3199列表默认应用于外网口，如果需要修改列表必须先在接口下取消应用，再进行编辑列表。 * 后设置好的列表记住需要在接口上重新调用。

3、NBR路由器如何限制管理IP（只允许某个IP管理）？
      限制管理IP是针对TELNET或WEB来说的，对console口无效。

（1）限telnet管理主机配置如下：
NBR (config)#access-list 11 permit 192.168.1.27 0.0.0.0  //定义一条ACL，允许一个主机192.168.1.27
NBR(config)#line vty 0 4  //进入TELNET模式
NBR(config-line)#access-class 11 in  //应用ACL，只允许192.168.1.27的主机进行TELNET配置。

（2）限制WEB管理主机配置如下：
  NBR2500(config)#access-list 100 permit ip host 192.168.1.2 any       //定义ACL100 允许192.168.1.2 访问所有
NBR2500(config)#access-list 100 permit ip host 192.168.1.3 any       //定义ACL100 允许192.168.1.3 访问所有
NBR2500(config)#access-list 100 deny ip any host 192.168.1.1          //定义除了192.168.1.2和192.168.1.3其他都不允许访问192.168.1.1
NBR2500(config)#acessl-list 100 permit ip any any                         //定义所有IP访问外网
NBR2500(config)#int g0/0
NBR2500(config-if)#ip access-group 100 in                                  //应用到接口上，只允许192.168.1.2和192.168.1.3访问192.168.1.1

4、NBR路由器内网用户只允许打开网页，禁止其他应用？
配置思路：放通80和53（DNS）端口
NBR(config)#access-list 101 permit tcp any any eq 80
NBR(config)#access-list 101 permit udp any any eq 53
NBR(config)#int f0/0                   //进入内网口
NBR(config-if)#ip access-group 101 in             //在内网口调用ACL
如果修改修改策略，首先先取消接口调用，然后再对ACL进行编辑，否则会引起断网。

5、NBR路由器如何配置拒绝部分IP上网？
配置思路：想要实现禁止内网192.168.1.10-192.168.1.20的电脑上网
NBR1200#config                         // 进入全局配置模式
NBR1200(config)#access-list 3198 deny ip 192.168.0.10 192.168.0.20 any
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表，拒绝192.168.0.10-20这11个IP地址通过，其它地址不做限制
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198，拒绝以上IP地址通过
NBR1200(config-if)#end                            // 退回特权模式
NBR1200#write                                     // 保存配置
如果修改修改策略，首先先取消接口调用，然后再对ACL进行编辑，否则会引起断网。

6、NBR路由器如何拒绝去访问外网某一个地址？
配置思路：想要实现禁止内网用户去访问外网202.108.19.1
NBR1200#config                         // 进入全局配置模式
NBR1200(config)# access-list 3198 deny ip any host 202.108.19.1
NBR1200(config)#access-list 3198 permit ip any any
// 定义ACL3198的扩展访问控制列表，拒绝内网去访问外网IP为222.222.222.222的地址
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end                            // 退回特权模式
NBR1200#write                                     // 保存配置
如果修改修改策略，首先先取消接口调用，然后再对ACL进行编辑，否则会引起断网。

7、NBR路由器如何配置内网主机在工作日（周一至周五）8：00-18：00允许上网，其他时间段不能上网？
配置思路：
1、首先定义时间

NBR1200#config                         // 进入全局配置模式
NBR1200(config)#time-range time1 //定义时间段，名字命名为time1
NBR1200(config-time)#periodic Weekdays 8:00 to 18:00
NBR1200(config-time)#exit
NBR1200(config)#access-list 3198 permit any any  time-range time1
NBR1200(config)#interface FastEthernet 0/0
NBR1200(config-if)#ip access-group 3198 in
// 在LAN口上应用访问控制列表ACL3198
NBR1200(config-if)#end                            // 退回特权模式
NBR1200#write                                     // 保存配置
如果修改修改策略，首先先取消接口调用，然后再对ACL进行编辑，否则会引起断网。

8、NBR系列可以支持多少条MAC过滤？
   目前支持可配置16条

9、NBR是否支持配置不允许客户机或路由器跟踪tracert NBR，但是允许ping的功能？
不支持。取消路由跟踪命令如
access-list 3198 deny icmp any any echo
access-list 3198 deny icmp any any time-exceeded
access-list 3198 permit ip any any
以上命令配置后路由跟踪（tracert）失效但是同时也禁止ping

[网关] 老版NBR【9.X平台】 >> ACL >> 常见咨询

合作伙伴