一 .acl講解
acl分標準訪問控制列表(standard acl)和拓展訪問控制列表(extended acl),如下
① 標準acl(訪問控制列表號1—99或1300—1999)
只過濾源位址,允許或禁止整個tcp/ip協議族
一般配置在靠近流量目的地的介面
配置方法如下:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#access list 1 deny any//系統隱含條件(implicit deny any)
router(config)#inte***ce f0/0
router(config-if)#ip access-group 1 in
router(config-if)#exit
router(config)#inte***ce f0/1
router(config-if)#ip access-group 1 out
router(config-if)#no ip access-group 1 out//在埠上卸除acl繫結
值得注意的是要改變acl列表條件只能刪除整個表:
router(config)#no access-list 1
②拓展acl(訪問控制列表標號100-199或2000-2600)
過濾源或目的位址,允許或拒絕乙個具體的協議和埠號
一般放在靠近流量源頭處
用到埠號時常用的英文縮寫 it gt eq neq(<、>、=、≠)
常見熟知埠號:
20檔案傳輸協議(ftp)資料通道
21檔案傳輸協議(ftp)控制通道
23遠端登入(telnet)
25簡單郵件傳輸協議(smtp)
53網域名稱服務系統(dns)
69普通檔案傳輸協議(tftp)
80超文字傳輸協議(http)
例1:router(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router(config)#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router(config)#access-list 101 deny ip any any //系統隱含條件(implicit denyall)
router(config)#inte***ce s0
router(config-if)#ip access-group 101 out
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router(config)#inte***ce f0/0
router(config-if)#ip access-group 102 out
例2:允許192.168.10.10 ping 172.16.1.1,禁止反向測試:
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router(config)#access-list 199 permit ip any any
③命名ip acl(cisco ios v11.2以後支援)
例:router(config)#access-list standard acl_1//註明standard還是extended控制列表,名字可使用大多數字元
router(config-std-nac)#permit 172.18.0.0 0.0.255.255 log
router(config-std-nac)#no permit 172.18.0.0 0.0.255.255 log//no 命令移去特定語句
router(config)#inte***ce f0/0
router(config-if)#ip access-group acl_1 out
④檢視acl列表
router(config)# show ip inte***ce e0//檢視介面acl繫結情況
router(config)# show accesslists//監視acl內容
router(config)#show access-list [acl錶號]】
二.例項
拓撲圖如下(路由配置用的是rip),其中dns伺服器中有兩條記錄:
實驗要求:
①1.1.1.0/24網段中的所有節點能ping通2.2.2.0/24網段中的dns伺服器,而無法ping通其他節點
②2.2.2.0/24網段中的節點不能訪問internet(即不能ping 通r2之後的節點)
實驗過程
①配置r1
②配置r2
③測試
至此實驗結束,acl配置過程中其他值得注意的一些地方總結如下:
訪問控制列表的順序決定被檢驗的順序,特殊規則放在最前面(如針對某個主機)
每個列表至少有乙個允許語句
每個介面,每個協議,每個方向上只能繫結乙個acl列表
cisco交換機配置
cisco交換機配置的幾個常用命令 switch enable 進入特權模式 switch conf t 進入配置模式 switch config int fa0 0 進入fa0 0介面 switch config if swichport mode trunk trunk介面配置 switch c...
Cisco交換機 配置zone
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 1 配置zone switch conf t switch config zone name zonename1 vsan 10 建立zone switch config zone member inte ce...
華為交換機acl的配置
總結,其實也很好理解,acl規則下的permit用於匹配流,流動作裡的permit或deny才是真正的對包文的允許與禁止動作。也可參考華為手裡的一句話 基於硬體的應用 acl 被下發到硬體,例如配置qos 功能時引用acl,對報文進 行流分類。需要注意的是,當acl 被qos 功能引用時,如果acl...