Acl访问控制列表

 

Acl访问控制列表

访问控制列表在接口应用的方向

以数据流量为参照，到该路由器接口的叫入方向，否则为出方向

访问控制列表的处理过程

 

（一）标准访问控制列表

标准访问控制列表的访问控制列表号是1～99，并基于源IP地址过滤数据包

标准访问控制列表不能删除单条acl语句，只能删除整个acl

1.基于主机地址

R1(config)#access-list 10 deny host 192.168.1.10

R1(config-if)#ip access-group 10 in     应用于in接口

2.基于网段地址

R1(config)#access-list 10 permit 192.168.1.0 0.0.0.255

R1(config-if)#ip access-group 10 out    应用于out接口

（二）扩展访问控制列表

基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包，扩展访问控制列表的访问控制列表号是100～199

与标准访问控制列表一样，扩展访问控制列表不能删除单条acl语句，只能删除整个acl

R1(config)#access-list 110 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.1 eq 21

R1(config)#access-list 110 deny icmp any any echo

R1(config-if)#ip access-group 10 in    应用于in接口

R1#show access-list 110          查看acl列表

R1(config)#no access-list 100      删除acl列表

（三）命名访问控制列表

命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

R1(config)#ip access-list extended noping     创建命名访问列表

R1(config-ext-nacl)#2 deny icmp host 192.168.2.10 host 192.168.100.100 echo    插入单条acl语句

R1(config-if)#ip access-group test out           运用在接口的out方向

R1(config-ext-nacl)#no 5                     删除单条acl语句

R1(config)#no ip access-list extended noping     删除命名访问列表

R1(config-if)#no ip access-group out            取消接口acl

例

Sw1配置

!

interface FastEthernet1/1

 switchport access vlan 10

!

interface FastEthernet1/2

 switchport access vlan 20

!

interface FastEthernet1/15

 switchport mode trunk

!

interface Vlan1

 ip address 192.168.3.10 255.255.255.0

!

ip default-gateway 192.168.3.1

!

 

R1配置

!

ip route 0.0.0.0 0.0.0.0 202.106.1.2

!

enable password 123

!

interface FastEthernet0/0.10

 encapsulation dot1Q 10

 ip address 192.168.1.1 255.255.255.0

!

interface FastEthernet0/0.20

 encapsulation dot1Q 20

 ip address 192.168.2.1 255.255.255.0

!

interface FastEthernet0/0.30

 encapsulation dot1Q 1 native

 ip address 192.168.3.1 255.255.255.0

!

interface FastEthernet0/1

 ip address 202.106.1.1 255.255.255.252

 ip access-group test out

!

ip access-list extended test

 deny   icmp host 192.168.2.10 host 192.168.100.100 echo

 deny   tcp host 192.168.1.10 any eq www

 permit ip any any

!

access-list 10 permit 192.168.1.10

!

line vty 0 4

 access-class 10 in

 password 123

 login

!

R2配置

!

interface FastEthernet0/0

 ip address 202.106.1.2 255.255.255.252

!

interface FastEthernet0/1

 ip address 192.168.100.1 255.255.255.0

!

ip route 192.168.1.0 255.255.255.0 202.106.1.1

ip route 192.168.2.0 255.255.255.0 202.106.1.1

ip route 192.168.3.0 255.255.255.0 202.106.1.1

!