一、扩展方问控制列表的配置
1、创建ACL
Router(config)#access-list access-list-number { permit| deny } protocol { source source-wildcard destination destination-wildcard }
[ operator operan]
#access-list-number:访问控制列表表号,100~199之间
#permit|deny:如果测试条件满足,则允许|拒绝该通信流量
#protocol:用来指定协议类型,如IP、UDP、ICMP等
#source、destination:分别用来标识源地址和目的地址
#source-wildcard、destination-wildcard:源反码、目的反码
#operator operan:lt(小于)、gt(大于)、eq(等于)或neq(不等于)+端口号
【例如:允许网络192.18.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量】
Router(config)# access-list 100 permit ip192.168.1.0 0.0.0.255
192.168.2.0 0.0.0.255
Router(config)# access-list 100 deny any any
【例如:拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过,而允许其他任何流量】
Router(config)# access-list 100 permit ipany any
Router(config)# access-list 100 deny tcp192.168.1.0 0.0.0.255
host 192.168.2.2 eq 21
【例如:禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24,而允许其他任何流量】
Router(config)# access-list 100 deny icmp 192.168.1.0 0.0.0.255
host 192.168.2.2 echo
Router(config)# access-list 100 permit ipany any
2、将ACL应用于接口
Router(config)# ip access-groupaccess-list-number { in | out }
3、取消ACL的应用
Router(config)# no ip access-groupaccess-list-number { in | out }
4、扩展ACL的配置实例
要求:
允许主机PC1访问Web服务器的WWW服务
禁止主机PC1访问Web服务器的其他任何服务
允许主机PC1访问网络192.168.2.0
命令:
R1(config)# access-list 100 permit tcp host 192.168.1.1 host
192.168.3.1 eq www
R1(config)# access-list 100 deny ip host 192.168.1.1 host192.168.3.1
R1(config)# access-list 100 permit ip host192.168.1.1 host
192.168.2.0 0.0.0.255
R1(config# int f0/0
R1(config)# ip access-group 100 in
二、命名访问控制列表的配置
1、创建ACL
Router(config)#ip access-list { standard | extended } access-list-name
【定义标准命名ACL】
Router(config-std-nacl)#[sequence-Number] { permit | deny } source
[source-wildcard]
【定义扩展命名ACL】
Router(config-ext-nacl)#[sequence-Number] { permit | deny } protocol
{ source source-wildcard destinationdestination-wildcard }
[ operator operan]
#sequence-Number:是一个可选参数,默认情况下,第一条为10,第二为20,依此类推。
【例:允许来自主机192.168.1.1的流量通过,而拒绝其他流量,标准命名ACL】
Router(config)# ip access-list standardganbing
Router(config-std-nacl)# permit host192.168.1.1
Router(config-std-nacl)# deny any
【例:在命令ACL里插入一条ACL,允许来自主机192.168.2.1的流量通过】
Router(config)# ip access-list standardganbing
Router(config-std-nacl)# 15 permit host192.168.2.1
【例:拒绝网络192.168.1.0访问FTP服务器192.168.2.2的流量通过,而允许其他的任何流量,扩展命名 ACL】
Router(config)# ip access-list extendedganbing
Router(config-ext-nacl)# deny tcp192.168.1.0 0.0.0.255 host 192.168.2.2eq 21
Router(config-ext-nacl)# permit ip any any
【例:删除已建立的命名ACL】
Router(config)# no ip access-list {standard| extended} access-list-name
【例,删除标准命名ACL某一条记录】
Router(config)# no ip access-list standardganbing
Router(config)# no 10
【例,删除标准命名ACL某一条记录】
Router(config)# no ip access-list standardganbing
Router(config)# no permit host 192.168.1.1
2、将ACL应用于接口
Router(config-if)# ip access-groupaccess-list-name { in | out }
3、在接口上取消命名ACL的应用
Router(config-if)# no ip access-groupaccess-list-name { in | out }