大家在谈到路由器ACL的时候,首先想到的是标准ACL和扩展ACL,其实还有鲜为人知的命名访问ACL。本文主要目的是想介绍命名访问控制列表配置。
访问列表类型:
标准的访问控制列表-(基于IP的编号范围1-99,基于IPX的编号范围800-899)检查源地址,通常允许、拒绝完整的协议
扩展的访问控制列表-(基于IP的编号范围100-199,基于IPX的访问控制列表范围900-999),检查源地址和目的地址,具体的TCP/IP协议和目的端口号,通常允许、拒绝的是某个特定的协议
SAP(基于IPX的编号1000-1099)。其它访问列表范围表示不同协议的访问列表。
进方向和出方向分别用in和out表示。
************************************************
* 标准的访问控制列表举例 *
************************************************
前提(先进入全局配置模式下)
access–list 11 deny/permit 192.168.1.12 0.0.0.255
#####192.168.1.12为源地址;0.0.0.255为192.168.1.12 的反掩码;;11为标准的访问控制列表的编号。
i p access–group 11 in/out //前提(先进入接口配置模式下)
###### in为进方向,out为出方向,缺省下为出方向 。11为上面做访问控制列表时用的编号。
做完这两步,一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0
用no access–list 11 命令删除访问控制列表,属于这个编号下的访问控制列表全部删除(先进入全局模式下);
用no ip access–group 11 命令在端口上删除访问控制列表(先进入接口模式下)。
***************************************************
* 扩展的访问控制列表的配置 *
***************************************************
前提(先进入全局配置模式下)
access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80
######意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络。
access–list 101 permit ip any any
######访问控制列表的意思的允许所有。
######(扩展访问列表允许所有时,后面要用两个any ;标准访问控制列表在允许所有的时候,后面是一个any。)
######101为编号; tcp为协议号 ; 172.16.4.0 0.0.0.255为源地址;172.16.3.0 0.0.0.255 为目的地址; eq是等于的意思 ;80为端口号。
ip access–group101 out 前提(先进入接口配置模式)
######这条命令是接口上启用访问控制列表并指定方向。
***************************************************
* 命名的访问控制列表的配置 *
***************************************************
(11.2以后的版本才支持)-基于IP和IPX都可以,可以自已定义一个名字。
(前提,先进入全局配置模式下)
ip access–list standard/extended cisco // cisco为自行定义的名字
deny/permit 172.1.1.0 0.0.0.255 //上面选择standard即标准访问控制列表的时候
deny/permit tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 80 //上面选择extended即扩展访问控制列表的时候
ip access–group cisco in/out 前提(先进入接口配置模式下)在接口上应用命名的访问控制列表,并指定方向。
********************************
* 访问控制列表放置原则 *
********************************
将扩展访问列表放置于离源设备较近的位置,将标准访问列表放置于离目的设备较近的位置
********************************
* 访问控制列表配置原则 *
********************************
访问列表中的限制语句的位置是至关重要的;
将限制条件严格的语句放在访问列表的最上面;
使用no access–list number命令将删除整个访问列表 number为配置的访问控制列表编号, 例外:命名访问列表可以删除单独的语句; copyright www.netdigedu.com
访问列表中有一条隐藏访问控制--拒绝所有(deny all);
在设置的访问列表中要有一句 permit any。
eg:
命名访问控制列表配置:
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in
router(config)#ip access-list extended hbsj
router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
router(config-ext-nacl)#exit
router(config)#interface FastEthernet2/1/0
router(config-if)#ip access-group hbsj in