菜鸟学习CCNA-ACL

菜鸟学习CCNA-ACL

    访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
1. 标准ACL
   标准ACL 最简单,是通过使用IP 包中的源IP 地址进行过滤,表号范围1-99 或1300-1999;
2. 扩展ACL
   扩展ACL 比标准ACL 具有更多的匹配项,功能更加强大和细化,可以针对包括协议类型、
源地址、目的地址、源端口、目的端口、TCP 连接建立等进行过滤,表号范围100-199 或
2000-2699;
3. 命名ACL
   以列表名称代替列表编号来定义ACL,同样包括标准和扩展两种列表。通配符掩码:一个32 比特位的数字字符串,它规定了当一个IP 地址与其他的IP 地址进行比较时,该IP 地址中哪些位应该被忽略。通配符掩码中的“1”表示忽略IP 地址中对应的位,而“0”则表示该位必须匹配。两种特殊的通配符掩码是“255.255.255.255”和“0.0.0.0”,前者等价于关键字“any”,而后者等价于关键字“host”;
   Inbound 和outbound:当在接口上应用访问控制列表时,用户要指明访问控制列表
是应用于流入数据还是流出数据。
   总之,ACL 的应用非常广泛,它可以实现如下的功能:1 拒绝或允许流入(或流出)的数据流通过特定的接口;2 为DDR 应用定义感兴趣的数据流;3 过滤路由更新的内容;4 控制对虚拟终端的访问;5 提供流量控制。
标准ACL实验
网络拓扑图:
 

具体配置:
先采用eigrp 协议将所有网络弄通
R1(config)#router eigrp 1
R1(config-router)#network 10.1.1.0 0.0.0.255
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#network 192.168.12.0
R1(config-router)#no auto-summary
 
R2(config)#router eigrp 1
R2(config-router)#network 2.2.2.0 0.0.0.255
R2(config-router)#network 192.168.12.0
R2(config-router)#network 192.168.23.0
R2(config-router)#no auto-summary
 
R3(config)#router eigrp 1
R3(config-router)#network 172.16.3.0 0.0.0.255
R3(config-router)#network 192.168.23.0
R3(config-router)#no auto-summary
在PC1上使用ping命令进行检测,各网段网络是否连通
配置标准ACL命令格式:
router(config)#access-list  表号  deny(禁止)  网段/IP地址    反掩码禁止某各网段或某个IP
 router(config)#access-list 表号  permit(允许)  any
注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。
要求:
拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务
R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255   //定义表号为1 禁止172.16.1.0网段通过
R2(config)#access-list 1 permit any               //允许所有网络通过
R2(config)#int s0/0                            //进入S0/0接口模式
R2(config-if)#ip access-group 1 in                //设置此接口为进
R2(config-if)#access-list 1 permit 172.16.3.1
R2(config)#line vty 0 4
R2(config-line)#access-class 2 in
R2(config-line)#password cisco
R2(config-line)#login
R2#show access-lists                           查看访问控制列表
在PC2上使用ping 命令进行检测:PING 2.2.2.2 不通
在PC1上使用ping 命令进行检测:PING 2.2.2.2 通
在PC3上使用TELNET命令进行检测
 
扩展ACL配置实验
配置扩展访问控制列表命令格式:
router(config)#access-list   表号     deny(禁止)   协议   源IP地址/网段    反掩码    目的IP地址/网段     反掩码    eq  端口
router(config)#access-list  表号     permit    ip  any  any
注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。
网络拓扑图如上图
要求:
只允许PC2 所在网段的主机访问路由器R2 的WWW 和TELNET 服务,并拒绝
PC3 所在网段PING 路由器R2
R1#config t
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq www.
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq www
注释:定义表号为100 允许通过的协议为tcp(www使用的是tcp协议进行传输) 源地址:172.16.1.0段
目的段 2.2.2.2 使用端口:www(80端口)
//定义一个扩展访问列表号为100,允许目的网段为172.16.1.0段地址,使用TCP协议,www端口号,访问目的段ip为2.2.2.2 (R2)的www服务。
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.12.2 eq telnet
R1(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 192.168.23.1 eq telnet
R1(config)#int s0/0
R1(config-if)#ip access-group 100 in //激活S0/0接口访问控制列表,并设置此接口为IN
 
R2(config)#ip http server //将路由器配置成WEB 服务器
R2(config)#line vty 0 4
R2(config-line)#password cisco
R2(config-line)#login
 
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 2.2.2.2
//注释:定义扩展访问列表表号为101,拒绝172.16.3.0网段通过icmp协议访问2.2.2.2
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.12.2
R3(config)#access-list 101 deny icmp 172.16.3.0 0.0.0.255 host 192.168.23.1
R3(config)#access-list 101 permit ip any any //允许其他所有ip通过
R3(config)#int s0/0
R3(config-if)#ip access-group 101 in
 

你可能感兴趣的:(acl,休闲,CCNA,标准ACL,扩展acl)