|
扩展ACL协议
扩展ACL允许或阻止协议:IP TCP UDP ICMP
ACL控制原理:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层心及第四层头信息,如源地址、目的地址 源端口 目的端口等。
扩展ACL:operator operan: lt(小于) gt(大于)eq(等于) neq(不等于)和一个端口号
例:拒绝192.168.1.0/24 访问FTP服务器192.168.2.2的流量通过,而允许其他任何流量:
access-list 101 deny tcp 192.168.1.0 0.255.255.255 host 192.168.2.2 eq 21
access-list 101 permit ip any any
禁止网络192.168.1.0/24的主机ping 通服务器192.168.2.2,而允许其他流量
access-list 102 deny icmp 192.168.1.0 0.255.255.255 host 192.168.2.2 echo
access-list 102 permit ip any any说明:echo:ICMP中的ping包
echo-reply:ICMP中的PING回应包
端口 关键字典 描述 TCP/UDP
20 FTP-DATE 文件数据传输协议 TCP
21 FTP 文件传输协议 TCP
23 TELNET 终端连接 TCP
25 SMPT 简单右键服务器 TCP
42 NAMESERVER 主机名字服务器 UDP
53 DOMAIN 域名服务器DNS TCP/UDP
80 WWW WWW服务 TCP
8098 远程控制 TCP
520 RIP