ACL访问控制列表

1、两种类型：

​ 标准ACL：检查源地址，通常允许或拒绝的是完整的协议。

​ 扩展ACL：检查源地址和目的地址，通常允许或拒绝的是某个特定的协议。

2、两个方向：

​ in:进站

​ out:出站

​ 标准ACL通常应用到离目标最近的端口，方向为out。

​ 扩展ACL通常应用到离源最近的端口，方向为in。

3、两个动作：

​ deny:拒绝

​ permit:允许：

4、两种命名方式：

​ 名称命名：

​ standard:

​ extended:

​ 编号命名：

​ 标准ACL：1～99

​ 扩展ACL：100～199，2000～2699

5、有一条默认拒绝所有的规则，所以配置拒绝条目后，必须要配置被允许的条目。

6、执行顺序：从上至下，一旦匹配，不再往下执行。

案例一

• 拒绝学生宿舍访问财务室网络
• 拒绝行政楼主机：192.168.20.1访问财务网络

编号命名标准ACL：
R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R2(config)#access-list 10 deny 192.168.20.1
R2(config)#access-list 10 permit any
R2(config)#int fa0/0
R2(config-if)#ip access-group 10 out
名称命名标准ACL：
R2(config)#ip access-list standard A1
R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255
R2(config-std-nacl)#deny 192.168.20.1 0.0.0.0
R2(config-std-nacl)#permit any
R2(config)#int f0/0
R2(config-if)#ip access-group A1 out
删除配置到端口的规则
R2(config)#int f0/0
R2(config-if)#ip access-group A1 out
R2(config)#no ip acc standard A1

案例二

• 拒绝学生宿舍访问www服务

编号命名拓展ACL：
R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config)#access-list 100 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 100 in
名称命名拓展ACL：
R1(config)#ip access-list extended A1
R1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/0
R1(config-if)#ip acc A1 in
删除部分规则：
R1#sh ip acc
R1(config)#ip acc extended A1
R1(config-ext-nacl)#no 10
R1(config-ext-nacl)#no 20

案例三

• 拒绝学生宿舍ping服务器，但可以访问网站

编号命名拓展ACL：
R1(config)#access-list 101 deny icmp 192.168.10.0 0.0.0.255 host 192.168.100.1 echo
R1(config)#access-list 101 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 101 in
名称命名拓展ACL：
R1(config)#ip access-list extended A1
R1(config-ext-nacl)#deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config-ext-nacl)#permit ip any any

案例四

• 学生宿舍不可以ping服务器，不能用www.zlt.com访问网站，但可以用地址访问网站

编号命名拓展ACL：
R1(config)#access-list 102 deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config)#access-list 102 deny udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq domain
R1(config)#access-list 102 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 102 in
名称命名拓展ACL：
R1(config)#ip acc extended A1
R1(config-ext-nacl)#deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config-ext-nacl)#deny udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq domain
R1(config-ext-nacl)#permit ip any any