ACL配置实例:
ACL对于网络管理员来说,是一个很重要的保障网络安全的利器,而且方便灵活,配置也比较简单,所以一个好的网络管理员必须能熟练的写出一些常用的ACL!
这次我所介绍的,都是一些企业常见ACL应用实例,掌握了这几条,基本就可以应用于实际工作中了。
那么,ACL到底是什么呢?它是访问控制列表,其原理是使用包过滤技术,在路由器上读取OSI 7层模型的第3,4层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的。
ACL可分为2两种基本类型:标准访问控制列表(1~99)和扩展访问控制列表(100~199)。
下面我用实例的方式,来展示ACL在实际工作中的应用:
 
标准ACL:(1~99)
 
一,标准ACL应用:允许特定源的流量
1,创建允许来自172.16.0.0的流量ACL
#access-list 1 permit 172.16.0.0 0.0.255.255
2,应用到接口e0和e1的出方向上
#int e0
#ip access-group 1 out
#int e1
#ip access-group 1 out
二,标准ACL应用:拒绝特定主机的通信量
1,创建拒绝来自172.16.2.34的流量ACL
#access-list 1 deny host 172.16.2.34
#access-list 1 permit 0.0.0.0 255.255.255.255
2,应用到接口e0的出方向
#int e0
#access-group 1 out
三,标准ACL应用:拒绝特定子网的流量
1,创建拒绝来自子网172.16.4.0的流量ACL
#access-list 1 deny 172.16.2.0 0.0.0.255
#access0list 1 permit any     //此处any就当相于0.0.0.0 255.255.255.255
2,应用到接口e0的出方向
#int e0
#ip access-group 1 out
 
扩展ACL:(100~199)
 
一,扩展ACL应用1:拒绝ftp流量通过e0
1,创建拒绝来自172.16.2.0去往172.16.3.0的ftp流量ACL
#access-list 101 deny tcp 172.16.2.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
#access-list 101 permit ip any any
2,应用到接口e0的出方向
#int e0
#access-group 101 out
二,扩展ACL应用2:拒绝telnet流量通过e0
1,创建拒绝来自172.16.2.0去往172.16.3.0的telnet流量的ACL
#access-list 101 deny tcp 172.16.2.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
#access-list 101 permit ip any any
2,应用到接口e0上
#int e0
#ip access-group 101 out
 
最后,附上常见端口号及其协议
端口号      关键字        描述              TCP/IP
20          FTP-DATA     FTP数据            TCP
21          FTP          FTP                TCP
23          TELNET       终端连接            TCP
25          SMTP         简单邮件传输协议    TCP
42          Name server  主机名服务器        UDP
53          Domain       DNS                TCP/UDP
69          TFTP         普通文件传输协议    UDP
80          WWW          万维网              TCP
 
本文只是抛砖引玉的目的,在具体环境中,还得根据企业实际应用,灵活配置ACL。希望本文对大家有所帮助。