菜鸟学习CCNA-ACL
访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
1. 标准ACL
标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或1300-1999;
2. 扩展ACL
扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、
源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或
2000-2699;
3. 命名ACL
以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。通配符掩码:一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中对应的位,而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”,前者等价于关键字“any”,而后者等价于关键字“host”;
Inbound 和outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表
是应用于流入数据还是流出数据。
总之,ACL 的应用非常广泛,它可以实现如下的功能:1 拒绝或允许流入(或流出)的数据流通过特定的接口;2 为DDR 应用定义感兴趣的数据流;3 过滤路由更新的内容;4 控制对虚拟终端的访问;5 提供流量控制。
标准ACL实验
网络拓扑图:
具体配置:
先采用eigrp 协议将所有网络弄通
R1(config)#router eigrp 1
R1(config-router)#network 10.1.1.0 0.0.0.255
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#network 192.168.12.0
R1(config-router)#no auto-summary
R2(config)#router eigrp 1
R2(config-router)#network 2.2.2.0 0.0.0.255
R2(config-router)#network 192.168.12.0
R2(config-router)#network 192.168.23.0
R2(config-router)#no auto-summary
R3(config)#router eigrp 1
R3(config-router)#network 172.16.3.0 0.0.0.255
R3(config-router)#network 192.168.23.0
R3(config-router)#no auto-summary
在PC1上使用ping命令进行检测,各网段网络是否连通
配置标准ACL命令格式:
router(config)#access-list 表号 deny(禁止) 网段/IP地址 反掩码禁止某各网段或某个IP
router(config)#access-list 表号 permit(允许) any
注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
要求:
拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务
R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义表号为1 禁止172.16.1.0网段通过
R2(config)#access-list 1 permit any //允许所有网络通过
R2(config)#int s0/0 //进入S0/0接口模式
R2(config-if)#ip access-group 1 in //设置此接口为进
R2(config-if)#access-list 1 permit 172.16.3.1
R2(config)#line vty 0 4
R2(config-line)#access-class 2 in
R2(config-line)#password cisco
R2(config-line)#login
R2#show access-lists 查看访问控制列表
在PC2上使用ping 命令进行检测:PING 2.2.2.2 不通
在PC1上使用ping 命令进行检测:PING 2.2.2.2 通
在PC3上使用TELNET命令进行检测
扩展ACL配置实验
配置扩展访问控制列表命令格式:
router(config)#access-list 表号 deny(禁止) 协议 源IP地址/网段 反掩码 目的IP地址/网段 反掩码 eq 端口
router(config)#access-list 表号 permit ip any any
注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。
网络拓扑图如上图
要求:
只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务,并拒绝
PC3 所在网段PING 路由器R2
R1#config t
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www.
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq www
注释:定义表号为100 允许通过的协议为tcp(www使用的是tcp协议进行传输) 源地址:172.16.1.0段
目的段 2.2.2.2 使用端口:www(80端口)
//定义一个扩展访问列表号为100,允许目的网段为172.16.1.0段地址,使用TCP协议,www端口号,访问目的段ip为2.2.2.2 (R2)的www服务。
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telnet
R1(config)#int s0/0
R1(config-if)#ip access-group 100 in //激活S0/0接口访问控制列表,并设置此接口为IN
R2(config)#ip http server //将路由器配置成WEB 服务器
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#login
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2
//注释:定义扩展访问列表表号为101,拒绝172.16.3.0网段通过icmp协议访问2.2.2.2
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.1
R3(config)#access-list 101 permit ip any any //允许其他所有ip通过
R3(config)#int s0/0
R3(config-if)#ip access-group 101 in