【標准與擴展ACL 、 命名ACL】
Access Control Lists,訪問控制列表
ACL協議分類:
標准ACL
基於源IP地址過濾數據包,列表號:1~99
擴展ACL
基於源IP地址、目標IP地址、指定協議、端口來過濾數據包,列表號:100~199
命名ACL
允許在標准和擴展訪問列表中使用名稱代替表號
——標准ACL配置——
1.創建ACL
Router(config)# access-list (1~99) { permit(允許) | deny(拒絕) } 網絡 反掩碼
隱含的拒絕語句(未匹配默認拒絕)
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
2.將ACL應用於接口
Router(config-if)# ip access-group (1-99) { in(入) | out(出) }
在接口處取消ACL應用
Router(config-if)# no ip access-group (1-99) { in | out }
刪除ACL
Router(config)# no access-list (1~99)
查看ACL
Router# show access-lists
注: 192.168.1.1 0.0.0.0 = host 192.168.1.1
0.0.0.0 255.255.255.255 = any
——擴展ACL配置——
1.創建ACL
允許192.168.1.1訪問192.168.4.1的HTTP服務
Router(config)# access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80(eq www)
拒絕192.168.1.1訪問192.168.4.1的其他服務
Router(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.4.1
允許192.168.1.0訪問192.168.4.1
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
2.將ACL應用於接口
Router(config-if)# ip access-group (100-199) { in | out }
——標准命名ACL配置——
1.創建ACL
Router(config)# ip access-list { standard(標准) | extended(擴展) } access-list-name
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# (10) permit host 192.168.1.1
Router(config-std-nacl)# (20) deny any
只允許該主機訪問,前面編號方便修改,注意順序
2.更改ACL
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# 15(序列號) permit host 192.168.2.1
中間添加語句,允許192.168.2.1訪問
查看ACL配置信息
Router# show access-lists Standard IP accsee list cisco
3.將ACL應用於接口
Router(config-if)# ip access-group (1~99) { in | out }
刪除整組ACL
Router(config)# no ip access-list (1~99) { standard | extended } access-list-name
刪除組中單一ACL語句
no Sequence-Number(序列號)
no ACL語句
——擴展命名ACL配置——
1.創建ACL
Router(config)# ip access-list extended cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)# permit ip any any
2.將ACL應用於接口
Router(config-if)# ip access-group (100-199) { in | out }