ACL配置
随着网络的增长,要求对IP流量进行管理
通过在路由器中设置包过滤来管理IP流量.提高内部网的安全性
ACL是一个授权和拒绝条件的序列表,不能过滤本地路由器的流量
用于各个LAN间接口,过滤LAN流量,用于VTY,过滤Telnet
标准ACL(standard):检查数据包的源地址
扩展ACL(extended):检查数据包源地址、目的地址、特定的协议、端口号码以及其他参数。使用更灵活。
(1).访问列表要指明过滤什么协议
(2).按照顺序匹配访问列表
(3).一般限制性的访问列表应该放在前面
(4).在访问列表的最后稳定性定义了deny any(拒绝所有访问),所以每个范文列表应该至少包含一条permit声明,后使用
(5).访问列表过滤通过路由器的流量,但不会应用于源自路由的流量。
(1) 创建ACL
access-list access-list-number{permit(允许)|deny(不允许)}{testcondition}
(2)将ACL绑定到接口
{protocol} access-group access-list-number{in(入栈ACL)|out(出栈ACL)}
(1)反转掩码的作用:
使用IP地址与翻转掩码地址对来定义测试条件
简化测试过程,避免额外的输入
(2)翻转掩码的格式
与子网掩码类似,翻转掩码是由0、1二进制组成的32位数字,分成4段:如下图:
(3)翻转掩码的配置规则:1意味着忽略 0意味着检查
Any和Host
Host: 172.10.16.11 0.0.0.0=host172.10.16.11
Any:0.0.0.0 255.255.255.255=any
(1)创建标准ACL
access-list access-list-number{permit|deny}source[mask]
为访问列表条目设置参数:
A.IP标准访问列表使用:1-99
B. 缺省wildcard mask=0.0.0.0
C.“no access-list access-list-number”命令删除访问列表条目
(2)绑定ACL到指定的接口
ip access-group access-list-number{in|out}
在接口配置模式激活访问列表:
A.设置inbound或outbound匹配
B.缺省是outbound
C.“no ipaccess-group access-list-number”命令从接口取消激活访问列表
(1)扩展ACL和标准ACL的比较
(2)扩展ACL的创建
access-list access-list-number{permit|deny}protocol sourcesource-wildcard[operator port]destination destination-wildcard operatorport][established][log]
access-list 号码permit|deny 协议 源 源反转码 源端口 目的 目的反转码 端口
access-list-number:100-199
permit|deny:指明允许还是拒绝
protocol:允许指定协议(IP,TCP,UDP,ICMP,IGRP)
source和destination:指明源和目的地址
operator port:lt,gt,eq,neq(小于,大于,等于,不等于)端口号
established(既定的):只用于inbound TCP,允许TCP建立连接(列如,ACK被置位)
(3)扩展ACL的绑定
ip access-group access-list-number{in|out}
(1)标识ACL
使用字符串代替数字,来标识ACL
优点:
a.用有含义的字符串直观标识一个ACL
b.需要的配置超出了99个标准ACL或者100个扩展ACL时,可以采用命名ACL
c.当修改ACL中的某一条语句时,可以在不删除整个ACL的情况下修改它
注意:
a.命名ACL与Cisco IOS11.2之前的版本不兼容
b.命名ACL也不包含标准和扩展ACL
c.不能为多个ACL使用相同的名字.不同类型的ACL也不能使用相同的名字
(2)标识ACL的创建
ip access-list{standard|exteded}name{permit|deny}{ip access listtest conditions}
(3)标识ACL的绑定
ip access-group name{in|out}