访问控制列表 配置:命名访问控制列表配置

大家在谈到路由器ACL的时候,首先想到的是标准ACL和扩展ACL,其实还有鲜为人知的命名访问ACL。本文主要目的是想介绍命名访问控制列表配置。    

 

访问列表类型:

 

      标准的访问控制列表-(基于IP的编号范围1-99,基于IPX的编号范围800-899)检查源地址,通常允许、拒绝完整的协议

 

      扩展的访问控制列表-(基于IP的编号范围100-199,基于IPX的访问控制列表范围900-999),检查源地址和目的地址,具体的TCP/IP协议和目的端口号,通常允许、拒绝的是某个特定的协议

 

      SAP(基于IPX的编号1000-1099)。其它访问列表范围表示不同协议的访问列表。

 

        进方向和出方向分别用in和out表示。

 

 

************************************************

*   标准的访问控制列表举例 *  

************************************************    

前提(先进入全局配置模式下)
          access–list 11 deny/permit 192.168.1.12 0.0.0.255   

#####192.168.1.12为源地址;0.0.0.255为192.168.1.12 的反掩码;;11为标准的访问控制列表的编号。

         i p access–group 11 in/out      //前提(先进入接口配置模式下)

###### in为进方向,out为出方向,缺省下为出方向 。11为上面做访问控制列表时用的编号。

 

 

      做完这两步,一个完整的访问控制列表算完成了。缺省下的反掩码为0.0.0.0    

用no access–list 11 命令删除访问控制列表,属于这个编号下的访问控制列表全部删除(先进入全局模式下);

用no ip access–group 11 命令在端口上删除访问控制列表(先进入接口模式下)。

***************************************************

*   扩展的访问控制列表的配置 *  

***************************************************    

     前提(先进入全局配置模式下)

      access–list 101 deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255         eq 80  

######意思是--拒绝/允许172.16.4.0这个网络远程登陆到172.16.3.0这个网络。

      access–list 101 permit ip any any  

######访问控制列表的意思的允许所有。

 

######(扩展访问列表允许所有时,后面要用两个any ;标准访问控制列表在允许所有的时候,后面是一个any。)

######101为编号; tcp为协议号 ;   172.16.4.0 0.0.0.255为源地址;172.16.3.0 0.0.0.255   为目的地址; eq是等于的意思 ;80为端口号。

      ip access–group101 out          前提(先进入接口配置模式)

 

######这条命令是接口上启用访问控制列表并指定方向。

 

 

***************************************************

*   命名的访问控制列表的配置 *  

***************************************************    

(11.2以后的版本才支持)-基于IP和IPX都可以,可以自已定义一个名字。

(前提,先进入全局配置模式下)

      ip access–list standard/extended cisco                //  cisco为自行定义的名字

      deny/permit 172.1.1.0 0.0.0.255                        //上面选择standard即标准访问控制列表的时候

      deny/permit tcp 172.16.4.0 0.0.0.255   172.16.3.0 0.0.0.255   eq 80    //上面选择extended即扩展访问控制列表的时候

 

 

ip access–group cisco in/out     前提(先进入接口配置模式下)在接口上应用命名的访问控制列表,并指定方向。

********************************

*  访问控制列表放置原则  *

********************************

 

 

将扩展访问列表放置于离源设备较近的位置,将标准访问列表放置于离目的设备较近的位置

********************************

*  访问控制列表配置原则  *

********************************

访问列表中的限制语句的位置是至关重要的;

 

将限制条件严格的语句放在访问列表的最上面;

 

使用no access–list   number命令将删除整个访问列表 number为配置的访问控制列表编号, 例外:命名访问列表可以删除单独的语句; copyright www.netdigedu.com

访问列表中有一条隐藏访问控制--拒绝所有(deny all);

 

 

在设置的访问列表中要有一句 permit any。

 

eg:

命名访问控制列表配置:

router(config)#ip access-list extended hbsj

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

 

 

router(config)#interface FastEthernet2/1/0

router(config-if)#ip access-group hbsj in  

 

router(config)#ip access-list extended hbsj

 

router(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any

router(config-ext-nacl)#exit

 

 

router(config)#interface FastEthernet2/1/0

 

router(config-if)#ip access-group hbsj in

你可能感兴趣的:(访问控制)