ACL基本配置
1 标准访问控制列表:只检查源地址(source)
语法:router(config)#access-list 列表号 permit|deny 源地址 反掩码 log
列表号 :访问控制列表序号,指明哪个列表(1-99代表标准访问控制列表)
permit|deny:满足条件后,是允许或拒绝
源地址 :数据包的源地址,可以是主机地址或是网络地址
反掩码 :决定哪些位需要进行匹配操作。
log :同时生成日志文件(可选)
2 扩展访问控制列表:基于源和目的地址、传输层协议和应用端口号
语法:router(config)#access-list 列表号 permit|deny protocol source source-wildcard destination destination-wildcard operator operan established log
列表号 :访问控制列表序号,指明哪个列表(100-199代表扩展访问控制列表)
permit|deny:满足条件后,是允许或拒绝
protocol :用来指定协议类型 ,ip tcp udp ecmp gre igrp
source、destination:分别代表源和目的地址
source-wildcard destination-wildcard :源和目的地址所对应的反掩码
operator operan:lt(小于)gt(大于)eq(等于)neq(不等于)后头加一个端口号
3 通配符any、host
any=任何网络=0.0.0.0 255.255.255.255
如:access-list 1 permit any
host=代表一台主机
如:access-list 1 deny hsot 192.168.1.2 拒绝主机192.168.1.2访问
4 查看命令
1 show ip interface 查看接口是否启用了ACL
2 show access-list 列表号 查看特定ACL列表的内容
实例要求:
(一)创立标准访问控制列表,(在离目的网段近的路由上分别做)
允许网段1(192.168.1.0/24)访问各个网段
不允许网段2(192.168.2.0/24) 访问各个网段
1 给各个了路由器的接口设置IP地址 (省略)
2 在连接网段1、2的路由器上设置两条到达网段5、6的静态路由
3 以5.0网段为例
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
router(config)#inter f0/1 把策略应用到接口
router(config-if)#ip access-group 1 in 把策略应用到入口
(二)扩展访问控制列表
允许网段1(192.168.1.0/24)访问各个内部网段的www服务和ping服务,拒绝访问该服务器上的其他服务
允许网段2(192.168.2.0/24)访问各个内部网段的TFTP服务和Ping服务,拒绝其他服务
1 给各个了路由器的接口设置IP地址 (省略)
2 在连接网段1、2的路由器上设置两条到达网段5、6的静态路由
3 以5.0网段为例
router(config)#access-list 101 perimt icmp echo any any
router(config)#access-list 101 perimt icmp echo-reply any any
router(config)#access-list 101 perimt tcp 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 eq 80
router(config)#access-list 101 perimt tcp 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 eq 69
router(config)#inter f0/1 把策略应用到接口
router(config-if)#ip access-group 101 in 把策略应用到入口
收藏于 2011-04-27
来自于百度空间