ACL访问控制列表
1、两种类型:
标准ACL:检查源地址,通常允许或拒绝的是完整的协议。
扩展ACL:检查源地址和目的地址,通常允许或拒绝的是某个特定的协议。
2、两个方向:
in:进站
out:出站
标准ACL通常应用到离目标最近的端口,方向为out。
扩展ACL通常应用到离源最近的端口,方向为in。
3、两个动作:
deny:拒绝
permit:允许:
4、两种命名方式:
名称命名:
standard:
extended:
编号命名:
标准ACL:1~99
扩展ACL:100~199,2000~2699
5、有一条默认拒绝所有的规则,所以配置拒绝条目后,必须要配置被允许的条目。
6、执行顺序:从上至下,一旦匹配,不再往下执行。
案例一
- 拒绝学生宿舍访问财务室网络
- 拒绝行政楼主机:192.168.20.1访问财务网络
编号命名标准ACL:
R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R2(config)#access-list 10 deny 192.168.20.1
R2(config)#access-list 10 permit any
R2(config)#int fa0/0
R2(config-if)#ip access-group 10 out
名称命名标准ACL:
R2(config)#ip access-list standard A1
R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255
R2(config-std-nacl)#deny 192.168.20.1 0.0.0.0
R2(config-std-nacl)#permit any
R2(config)#int f0/0
R2(config-if)#ip access-group A1 out
删除配置到端口的规则
R2(config)#int f0/0
R2(config-if)#ip access-group A1 out
R2(config)#no ip acc standard A1
案例二
- 拒绝学生宿舍访问www服务
编号命名拓展ACL:
R1(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config)#access-list 100 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 100 in
名称命名拓展ACL:
R1(config)#ip access-list extended A1
R1(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.1 eq www
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/0
R1(config-if)#ip acc A1 in
删除部分规则:
R1#sh ip acc
R1(config)#ip acc extended A1
R1(config-ext-nacl)#no 10
R1(config-ext-nacl)#no 20
案例三
- 拒绝学生宿舍ping服务器,但可以访问网站
编号命名拓展ACL:
R1(config)#access-list 101 deny icmp 192.168.10.0 0.0.0.255 host 192.168.100.1 echo
R1(config)#access-list 101 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 101 in
名称命名拓展ACL:
R1(config)#ip access-list extended A1
R1(config-ext-nacl)#deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config-ext-nacl)#permit ip any any
案例四
- 学生宿舍不可以ping服务器,不能用www.zlt.com访问网站,但可以用地址访问网站
编号命名拓展ACL:
R1(config)#access-list 102 deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config)#access-list 102 deny udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq domain
R1(config)#access-list 102 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 102 in
名称命名拓展ACL:
R1(config)#ip acc extended A1
R1(config-ext-nacl)#deny icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 echo
R1(config-ext-nacl)#deny udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq domain
R1(config-ext-nacl)#permit ip any any