【标准与扩展ACL 、 命名ACL】
Access Control Lists,访问控制列表
ACL协议分类:
标准ACL
基于源IP地址过滤数据包,列表号:1~99
扩展ACL
基于源IP地址、目标IP地址、指定协议、端口来过滤数据包,列表号:100~199
命名ACL
允许在标准和扩展访问列表中使用名称代替表号
——标准ACL配置——
1.创建ACL
Router(config)# access-list (1~99) { permit(允许) | deny(拒绝) } 网络 反掩码
隐含的拒绝语句(未匹配默认拒绝)
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
2.将ACL应用于接口
Router(config-if)# ip access-group (1-99) { in(入) | out(出) }
在接口处取消ACL应用
Router(config-if)# no ip access-group (1-99) { in | out }
删除ACL
Router(config)# no access-list (1~99)
查看ACL
Router# show access-lists
注: 192.168.1.1 0.0.0.0 = host 192.168.1.1
0.0.0.0 255.255.255.255 = any
——扩展ACL配置——
1.创建ACL
允许192.168.1.1访问192.168.4.1的HTTP服务
Router(config)# access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80(eq www)
拒绝192.168.1.1访问192.168.4.1的其他服务
Router(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.4.1
允许192.168.1.0访问192.168.4.1
Router(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
2.将ACL应用于接口
Router(config-if)# ip access-group (100-199) { in | out }
——标准命名ACL配置——
1.创建ACL
Router(config)# ip access-list { standard(标准) | extended(扩展) } access-list-name
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# (10) permit host 192.168.1.1
Router(config-std-nacl)# (20) deny any
只允许该主机访问,前面编号方便修改,注意顺序
2.更改ACL
Router(config)# ip access-list standard cisco
Router(config-std-nacl)# 15(序列号) permit host 192.168.2.1
中间添加语句,允许192.168.2.1访问
查看ACL配置信息
Router# show access-lists Standard IP accsee list cisco
3.将ACL应用于接口
Router(config-if)# ip access-group (1~99) { in | out }
删除整组ACL
Router(config)# no ip access-list (1~99) { standard | extended } access-list-name
删除组中单一ACL语句
no Sequence-Number(序列号)
no ACL语句
——扩展命名ACL配置——
1.创建ACL
Router(config)# ip access-list extended cisco
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21
Router(config-ext-nacl)# permit ip any any
2.将ACL应用于接口
Router(config-if)# ip access-group (100-199) { in | out }