思科ACL详解

思科ACL
基本原则:1、按顺序执行,只要有一条满足,则不会继续查找
                    2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的
                    3、任何条件下只给用户能满足他们需求的最小权限
                    4、不要忘记把ACL应用到端口上
一、标准ACL
    命令:access-list {1-99} {permit/deny} source-ip source-wildcard [log]
    例:access-list 1 penmit 192.168.2.0 0.0.0.255      允许192.168.2.0网段的访问
            access-list 1 deny 192.168.1.0 0.0.0.255         拒绝192.168.1.0网段的访问
    说明:wildcard为反掩码,host表示特定主机等同于192.168.2.3 0.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255 ;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方
 
二、扩展ACL
    命令:access-list {100-199} {permit/deny}  protocol source-ip source-wildcard  [operator port] destination-ip destination-wildcard  [operator port] [established][log]
    例:access-list 101 permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80
            允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
           access-list 101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq 53
             允许192.168.2.0网段的主机访问外网以做dns查询
    说明:gt 1023表示所有大于1023的端口,这是因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口;established 表示允许一个已经建立的连接的流量,也就是数据包的ACK位已设置的包。
 
三、命名ACL
     命令: ip access-list {standard/extended} name
                  { permit /deny} source-ip source-wildcard                               标准
                  { permit /deny} protocol source-ip source-wildcard [operator port] destination-ip destination-wildcard  [operator port] [established][log]                              扩展
    例:ip access-list extended outbound             定义一个名为outbound的命名ACL
             permit tcp 192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq 80 
            允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
见思科ACL2

你可能感兴趣的:(网络,职场,acl,休闲,思科)