ACL基本配置

5aabd21116216c9fa6ef3ffa.jpg

 

1 标准访问控制列表:只检查源地址(source)

  语法:router(config)#access-list 列表号 permit|deny 源地址 反掩码 log

   列表号     :访问控制列表序号,指明哪个列表(1-99代表标准访问控制列表)

    permit|deny:满足条件后,是允许或拒绝

    源地址  :数据包的源地址,可以是主机地址或是网络地址

  反掩码  :决定哪些位需要进行匹配操作。

  log  :同时生成日志文件(可选)

 2 扩展访问控制列表:基于源和目的地址、传输层协议和应用端口号

 语法:router(config)#access-list 列表号 permit|deny protocol source source-wildcard destination destination-wildcard operator operan established log

   列表号     :访问控制列表序号,指明哪个列表(100-199代表扩展访问控制列表)

   permit|deny:满足条件后,是允许或拒绝

   protocol   :用来指定协议类型 ,ip tcp udp ecmp gre igrp

   source、destination:分别代表源和目的地址

   source-wildcard destination-wildcard :源和目的地址所对应的反掩码

 operator operan:lt(小于)gt(大于)eq(等于)neq(不等于)后头加一个端口号

 3 通配符any、host

  any=任何网络=0.0.0.0 255.255.255.255

  如:access-list 1 permit any

  host=代表一台主机

  如:access-list 1 deny hsot 192.168.1.2 拒绝主机192.168.1.2访问

4 查看命令

  1 show ip interface   查看接口是否启用了ACL

  2 show access-list 列表号  查看特定ACL列表的内容

   

 实例要求:

 (一)创立标准访问控制列表,(在离目的网段近的路由上分别做)

    允许网段1(192.168.1.0/24)访问各个网段                    

    不允许网段2(192.168.2.0/24) 访问各个网段

  1 给各个了路由器的接口设置IP地址 (省略)

  2 在连接网段1、2的路由器上设置两条到达网段5、6的静态路由

  3 以5.0网段为例

    router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

   router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

  router(config)#inter f0/1                  把策略应用到接口       

   router(config-if)#ip access-group 1 in     把策略应用到入口 

  (二)扩展访问控制列表

   允许网段1(192.168.1.0/24)访问各个内部网段的www服务和ping服务,拒绝访问该服务器上的其他服务

   允许网段2(192.168.2.0/24)访问各个内部网段的TFTP服务和Ping服务,拒绝其他服务

  1 给各个了路由器的接口设置IP地址 (省略)

  2 在连接网段1、2的路由器上设置两条到达网段5、6的静态路由

  3 以5.0网段为例

   router(config)#access-list 101 perimt icmp echo any any 

    router(config)#access-list 101 perimt icmp echo-reply any any

    router(config)#access-list 101 perimt tcp 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 eq 80

    router(config)#access-list 101 perimt tcp 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255 eq 69

   router(config)#inter f0/1                          把策略应用到接口

   router(config-if)#ip access-group 101 in           把策略应用到入口

 

收藏于 2011-04-27

来自于百度空间


你可能感兴趣的:(ACL基本配置)