ACL访问控制列表的解析和配置

ACL的解析

个人简介

1. ACL

- Access Control List 访问控制列表

• 策略 ------行为 允许/拒绝

ACL --包含两种 =标准ACL 扩展ACL

标准ACL：只能针对源IP地址做限制

针对路由条目的限制 -路由策略

思科编号：1-99之间或1300-1999

扩展ACL：针对源IP 目的IP 源端口 目的端口 协议

针对数据包的限制 -数据包拦截

端口号 ====干什么的问题

思科编号：100-199之间

思科ACL：默认行为 ----拒绝所有行为

标准的ACL配置

思科:

access-list 1 deny   12.1.1.2

access-list 1 remark pc1

access-list 1 permit any

interface FastEthernet0/0

ip access-group 1 in/out

扩展ACL

新的需求：拒绝PC telnet到GW上

TELNET---TCP协议 ---23端口号

思科

access-list 100 deny   tcp host 12.1.1.2 host 12.1.1.1 eq telnet

access-list 100 permit ip any any

line vty 0 4

password ccna

interface FastEthernet0/0

ip access-group 100 in

扩展ACL

新的需求：拒绝PC telnet到GW上

TELNET---TCP协议 ---23端口号

思科

access-list 100 deny   tcp host 12.1.1.2 host 12.1.1.1 eq telnet

access-list 100 permit ip any any

line vty 0 4

password ccna

interface FastEthernet0/0

ip access-group 100 in

 拓扑图

命令配置

IP地址的配置

R1(config)#int f0/0
R1(config-if)#ip add 12.1.1.1 255.255.255.0
R1(config-if)#no sh
R2(config)#int f0/0
R2(config-if)#ip add 12.1.1.2 255.255.255.0
R2(config-if)#no sh

检验

配置ACL（标准ACL）

• 有三种方式

第一种

R1(config)#access-list 1 remark（标记/注释作用） R2
拒绝某一台设备
R1(config)#access-list 1 deny（拒绝） host（某一台PC的IP地址） 12.1.1.2
允许所有访问
R1(config)#access-list 1 permit（允许） any

接口挂接ACL 

1. in是从外到内的
2. out是从内到外

在接口挂载
R1(config)#int f0/0
挂载进来的ACL数据
R1(config-if)#ip access-group 1 in 

查看结果

第二种

R1(config)#access-list 1 remark R2
拒绝这个网段访问
R1(config)#access-list 1 deny（拒绝） 12.1.1.0 0.0.0.255
所有访问
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in 

查看结果

第三种 

允许某一台设备
R1(config)#access-list 1 permit host 192.168.1.0
拒绝所有访问
R1(config)#access-list 1 deny any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in 

查看结果

查看ACL

进入ACL进程

R1(config)#ip access-list standard 1 

 

配置telnet

R1(config)#line vty 0 4 
R1(config-line)#password liuzhisheng

 检验

配置ACL（扩展ACL） 

R1(config)#access-list 100 deny tcp host 12.1.1.2 host 12.1.1.1 eq 23
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in

查看结果