CCNA--ACL:访问控制列表

雨燕双飞 提交于 2019-12-06 09:32:50

ACL访问控制列表

作用:1、控制数据流量
2、抓取感兴趣流量
访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动态—允许或拒绝

【1】分类:标准ACL 扩展ACL
标准ACL:检查数据源IP地址
扩展ACL:检查数据协议、源目IP地址 (上层协议)

ACL是一张表 每张ACL可包含多个条目 每个条目需要做permit/deny动作
允许 拒绝
【2】写法:
1、编号写法: 1-99 标准 100-199 扩展 一个编号为一张表 删除一条,整表消失
2、命名写法: 一个名字为一张表 可以使用序号随意的删除或插入

【3】匹配规则
从上向下匹配 一旦匹配不再向下查询 且每张ACL末尾存在隐藏拒绝所有
方向:in/out
【4】调用规则:尽早的进行策略,避免流量在网络无谓的传输;千万不能误删掉不限制的流量;

标准ACL使用位置 在最靠近目标的接口上调用
扩展ACL使用位置 在最靠近源的接口上调用

注:cisco ACL不检查本地数据流量

配置

编号写法:
【1】标准ACL配置

R2(config)#access-list 1 deny 1.1.1.1
R2(config)#access-list 1 deny host 1.1.1.1
R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩码一样
R2(config)#access-list 1 permit any

【2】扩展ACL配置

R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1
                                                                       源           源目
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
eq代表端口号 

常见的端口号 FTP
文件传输协议 TCP 21
Telnet 远程登录 TCP 23
HTTP 超文本传输协议 TCP 80 8080
DNS 域名解析系统 UDP/TCP 53
HTTPS 安全HTTP TCP 443

命名写法:
【1】标准ACL配置

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#10 permit host 1.1.1.1   host代表的是主机不用加0.0.0.0作用跟0.0.0.0一样
R1(config-std-nacl)#permit 1.0.0.0

【2】扩展ACL配置

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#intterface f0/0
R1(config-if)#ip access-group ccnp in

其他配置:

如三个路由器,让R1Ping不通R3,但是R3能Ping通R1

R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)# deny icmp host 192.168.1.2 host 192.168.3.2 echo干掉去的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

让R3Ping不通R1,但是R1能Ping通R3

R1(config)#ip access-list extended ccna
R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.3.2 echo-reply
干掉回的流量
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#interface f0/1
R1(config-if)#ip access-group ccna in

Echo表示源Ping不通目标,目标能Ping通源
echo-reply表示源能Ping通目标,目标Ping不通源

调用:

R2(config)#interface f0/1
R2(config-if)#ip access-group 1 out/in

查看ACL

R2#show ip access-lists

编号:通过编号可修改、增加、删除 ACL中部分条目

R1(config)#ip access-list standard ccna
R1(config-std-nacl)#no 编号
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!