Acl访问控制列表
访问控制列表在接口应用的方向
以数据流量为参照,到该路由器接口的叫入方向,否则为出方向
访问控制列表的处理过程
(一)标准访问控制列表
标准访问控制列表的访问控制列表号是1~99,并基于源IP地址过滤数据包
标准访问控制列表不能删除单条acl语句,只能删除整个acl
1.基于主机地址
R1(config)#access-list 10 deny host 192.168.1.10
R1(config-if)#ip access-group 10 in 应用于in接口
2.基于网段地址
R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255
R1(config-if)#ip access-group 10 out 应用于out接口
(二)扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包,扩展访问控制列表的访问控制列表号是100~199
与标准访问控制列表一样,扩展访问控制列表不能删除单条acl语句,只能删除整个acl
R1(config)#access-list 110 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 21
R1(config)#access-list 110 deny icmp any any echo
R1(config-if)#ip access-group 10 in 应用于in接口
R1#show access-list 110 查看acl列表
R1(config)#no access-list 100 删除acl列表
(三)命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
R1(config)#ip access-list extended noping 创建命名访问列表
R1(config-ext-nacl)#2 deny icmp host 192.168.2.10 host 192.168.100.100 echo 插入单条acl语句
R1(config-if)#ip access-group test out 运用在接口的out方向
R1(config-ext-nacl)#no 5 删除单条acl语句
R1(config)#no ip access-list extended noping 删除命名访问列表
R1(config-if)#no ip access-group out 取消接口acl
例
Sw1配置
!
interface FastEthernet1/1
switchport access vlan 10
!
interface FastEthernet1/2
switchport access vlan 20
!
interface FastEthernet1/15
switchport mode trunk
!
interface Vlan1
ip address 192.168.3.10 255.255.255.0
!
ip default-gateway 192.168.3.1
!
R1配置
!
ip route 0.0.0.0 0.0.0.0 202.106.1.2
!
enable password 123
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.2.1 255.255.255.0
!
interface FastEthernet0/0.30
encapsulation dot1Q 1 native
ip address 192.168.3.1 255.255.255.0
!
interface FastEthernet0/1
ip address 202.106.1.1 255.255.255.252
ip access-group test out
!
ip access-list extended test
deny icmp host 192.168.2.10 host 192.168.100.100 echo
deny tcp host 192.168.1.10 any eq www
permit ip any any
!
access-list 10 permit 192.168.1.10
!
line vty 0 4
access-class 10 in
password 123
login
!
R2配置
!
interface FastEthernet0/0
ip address 202.106.1.2 255.255.255.252
!
interface FastEthernet0/1
ip address 192.168.100.1 255.255.255.0
!
ip route 192.168.1.0 255.255.255.0 202.106.1.1
ip route 192.168.2.0 255.255.255.0 202.106.1.1
ip route 192.168.3.0 255.255.255.0 202.106.1.1
!