ACL分类:
标准ACL:
表号1—99
基于源ip地址控制数据包
扩展ACL:
表号100—199
基于源IP地址目的IP地址 端口号 协议类型
ACL的关键字
允许:permit
拒绝:deny
规则
- ACL匹配顺序从上到下。每张ACL有一条默认Deny
- ACL中把具体的条目放在前面。
- 一张ACL中至少有一条Permit语句。
- 标准ACL放在离目的近的地方,扩展ACL放在离源近的地方
- 标准ACL和扩展ACL删除时,不能删除单独一个条目。
- 每一个接口的一个方向只能应用一张ACL。
使用通配符any和host
通配符any可代替0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit any
host表示检查IP地址的所有位
Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0
Router(config)#access-list 1 permit host 172.30.16.29
ACL分类
- 基本类型的访问控制列表
- 标准访问控制列表
- 扩展访问控制列表
- 其他种类的访问控制列表
- 基于MAC地址的访问控制列表
- 基于时间的访问控制列表
标准访问控制列表
标准访问控制列表的配置
第一步,使用access-list命令创建访问控制列表
Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log]
第二步,使用ip access-group命令把访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
最少要有一条permit语句
访问控制列表实例
第一步,创建访问控制列表
R(config)#access-list 1 permit 172.16.0.0 0.0.255.255
R(config)#access-list 1 deny 172.16.4.13 0.0.0.0
R(config)#access-list 1 permit 0.0.0.0 255.255.255.255
第二步,应用到接口f0/0的出方向上
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 1 out
拒绝特定主机的通信流量
第一步,创建拒绝来自172.16.4.13的流量的ACL
Router(config)#access-list 1 deny host 172.16.4.13
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
第二步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 1 out
扩展访问控制列表
扩展访问控制列表的配置
第一步,使用access-list命令创建扩展访问控制列表
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]
第二步,使用ip access-group命令将扩展访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
规则
- 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串(名字)代替来表示ACL的表号 2.
- 命名IP访问列表允许从指定的访问列表删除单个条目
- 如果添加一个条目到列表中,默认情况下该条目被添加到列表末尾 ,也可以在中间插入。
- 不能以同一个名字命名多个ACL
- 在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同
命名的访问控制列表
第一步,创建名为cisco的命名访问控制列表
Router(config)#ip access-list extended cisco
第二步,指定一个或多个permit及deny条件
Router(config-ext-nacl)# deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(config-ext-nacl)# permit ip any any
第三步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group cisco out
拒绝telnet流量通过E0
第一步,创建拒绝来自172.16.4.0、去往172.16.3.0、telnet流量的ACL
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
Router(config)#access-list 101 permit ip any any
第二步,应用到接口E0的出方向上
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 101 out
查看访问控制列表
Router#show access-list
Extended IP access list cisco
10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet
20 permit ip any any