ACL :本質上就是控制交換機的某個端口 對於 符合要求的 IP (擴展可以使用端口) 的放行或封鎖
思科交換機的 ACL 分為 標准 和 擴展 兩種版本
標准版的命令方式:access-list number permint/deny 條件(一般是 ip 通配符)
通配符的 作用是指定檢查哪些位,如果是 0 則檢查,1的話不檢查
並且用
interface xxx
ip access-group number in/out 控制在端口上的出入
比如
access-list 1 deny 172.16.0.0 0.0.255.255
interface ethernet 0
ip access-group 1 in
這就會限制 172.16. 開頭的ip 不能通過 接口 0 發送進路由器,因為 這種 172.16.xx.xx 的 IP 和 0.0.255.255 相與 之后 會等於 172.16.0.0,滿足條件 被攔截
拓展版本
access-list number permit/deny 協議 源地址 源地址通配符 (lt,gt,eq,neq)大於/等於/小於 端口 目的地址 目的地址通配符 大於/等於/小於 端口
是否允許三次握手 是否記錄日志
比如:
access-list 101 deny tcp 172.168.0.0 0.0.255.255 172.167.0.0 0.0.255.255 eq 80
不允許 172.168 網段上的主機 訪問 172.167 網段上的主機 的 80 端口