关闭

路由器ACL应用

标签: 路由器ACL
268人阅读 评论(0) 收藏 举报
分类:

ACL的概念
访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。

ACL的作用

ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。

ACL分类
1. 标准ACL
标准ACL只能检查源IP地址,所以标准ACL要尽量靠近目的端。

1.2. 配置
(1) Router(config)#ip access-list standard [WORD|<1-99>]

——————command——————
<1-2147483647> Sequence Number
default Set a command to its defaults
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
————————————————–

(2) Router(config-std-nacl)#command [IP|any|host] wildcard
(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test1 in

2. 扩展ACL
扩展ACL能控制源地址,也能控制目的地址,为了减少不必要的网络流量,所以扩展ACL要尽量靠近源端。

2.2. 配置
(1) Router(config)#ip access-list extended [WORD|<100-199>]
——————command————————————
The same as 1.2
——————————————————————–
(2) Router(config-ext-nacl)#command protocol [source|any|host] wildcard destination wildcard option service

——————protocol—————————

ahp Authentication Header Protocol
eigrp Cisco’s EIGRP routing protocol
gre Cisco’s GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol

——————option—————————–

eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
rang Match only packets in the range of port numbers


——————service—————————-

<0-65535> Port number
domain Domain Name Service (DNS, 53)
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
www World Wide Web (HTTP, 80)


(3) 调用
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group test2 in

示例:
1.

Router(config)#ip access-list standard test1
Router(config-std-nacl)#deny 192.168.1.1 0.0.0.0
Router(config-std-nacl)#deny 192.168.1.2 0.0.0.0
Router(config-std-nacl)#permit any

这里写图片描述

2.

Router(config)#ip access-list extended test2
Router(config-ext-nacl)#deny tcp 192.168.1.1 0.0.0.0 23.1.1.3 0.0.0.0 eq www

这里写图片描述

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:13384次
    • 积分:390
    • 等级:
    • 排名:千里之外
    • 原创:25篇
    • 转载:5篇
    • 译文:1篇
    • 评论:1条
    最新评论