ACL
Access control lists :访问控制列表-----防控列表
作用:
1、过滤: 针对某些网段和ip进行访问限制
2、分类:针对某些网段和ip进行分类,然后进一步处理
ACL的分类:
1、标准acl:检查源地址
2、拓展acl:检查目标和源地址
每一种acl都有两种书写形式:
·编号acl:
标准:1-99 1300-1999
拓展:100-199 2000-2699
·命名acl
标准编号:
创建acl
R2(config)#access-list 1 deny host 12.1.1.1
R2(config)#access-list 1 permit any
调用acl
R2(config)# interface e0/0
R2(config-if)#ip access-group 1 in 进方向
注意:cal过滤不掉本地产生的流量
R2(config)#do sh ip access-list
R2(config)#no access-list 1 删除acl 1
Show run int e0/0 查看在e0/0的配置
R1#ping 2.2.2.2 source 1.1.1.1 拓展ping命令 以1.1.1.1为源ping2.2.2.2
vty下调用acl
(config-line)# access-class 1 in
R2#telnet 1.1.1.1 /source-interface loopback 0 以lo0为源telnet 1.1.1.1
拓展编号
Ping命令使用网络层的icmp协议
R2(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.2 *拒绝1.1.1.1ping通2.2.2.2*
R2(config)#access-list 100 permit ip any any *放行其他*
R2(config)#interface s1/0
R2(config-if)#ip access-group 100 in *接口下调用*
标准命名
R2(config)#ip access-list standard killr1 *acl名字*
R2(config-std-nacl)#deny host 1.1.1.1
R2(config-std-nacl)#permit any
R2(config-std-nacl)#exit
R2(config)#interface s1/0
R2(config-if)#ip access-group killr1 in 调用acl
拓展命名
R2(config)#ip access-list extended T 命名
R2(config-ext-nacl)#deny tcp host 1.1.1.1 2.2.2.2 0.0.0.0 eq 23 拒绝1.1.1.1远程登录2.2.2.2
R2(config-ext-nacl)#permit ip any any 放行其他
R2(config-ext-nacl)#exit
R2(config)#int s1/0
R2(config-if)#ip access-group T in 调用
注意:
标准ACL一般作在靠近“目的”的地方,拓展acl一般作在靠近“源”的地方。