ip access-list

已于 2023-02-21 13:03:17 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: Notes 文章标签: tcp/ip 网络 udp
于 2022-06-30 15:58:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azenlijing/article/details/125542350
版权

在这里插入图片描述
In Cisco IOS, access-list is LEGACY syntax; ip access-list is MODERN syntax.

The access-list command is used to define a numbered ACL, meaning that the ACL will be identified in the configuration by its number. This number also designates the type of this ACL, i.e. standard IP, extended IP, MAC, etc. See here:

Router(config)#access-list ?  
<1-99>            IP standard access list  
<100-199>         IP extended access list  
<1100-1199>       Extended 48-bit MAC address access list  
<1300-1999>       IP standard access list (expanded range)  
<200-299>         Protocol type-code access list  
<2000-2699>       IP extended access list (expanded range)  
<700-799>         48-bit MAC address access list

Following this help output, if you want to define a standard IP ACL, it has to be identified by a number in the range 1-99 or 1300-1999. Analogously, if you want to define an extended IP ACL, it must be numbered from the range 100-199 or 2000-2699. MAC ACLs would use the range 700-799 for standard ACL and 1100-1199 for extended ACL.

The ip access-list command defines a named IPv4 ACL, either standard or extended. A named IP ACL is totally equivalent to a numbered IP ACL in its behavior - the only difference is in the way it is configured and referenced in the configuration. Also, using the ip access-list command, you can not define different types of ACLs like MAC ACLs. Otherwise, a named and a numbered ACLs behave identically.

For example, these two ACLs would provide identical results:

access-list 1 deny host 192.0.2.4  
access-list 1 deny 192.0.2.128 0.0.0.127  
access-list 1 permit any

 ip access-list standard MyACL1  
  deny host 192.0.2.4  
  deny 192.0.2.128 0.0.0.127  
  permit any

Also, these two ACLs would provide identical results:

access-list 100 permit tcp any any eq 80  
access-list 100 permit tcp any any eq 443  
access-list 100 permit udp any host 192.0.2.1 eq 53

ip access-list extended MyACL2  
  permit tcp any any eq 80  
  permit tcp any any eq 443  
  permit udp any host 192.0.2.1 eq 53

Apart from the obvious advantage of giving ACLs meaningful names instead of just numbers, the named ACLs have another advantage: they can actually be edited. Numbered ACLs cannot really be edited - you can only add new entries to their end but if you need to remove or replace an entry, you need to remove the entire ACL and enter it anew. With named ACLs, it is actually possible to perform in-place editing.

Let’s take the last named ACL I’ve posted. If you perform show ip access-lists you will get the following output:

Router#show ip access-lists  
Extended IP access list MyACL2  
    10 permit tcp any any eq www  
    20 permit tcp any any eq 443  
    30 permit udp any host 192.0.2.1 eq domain

Note the numbers 10,20,30 at the each line. They allow you to remove that particular line or insert a new line between them. For example, if I wanted to insert a new rule between the first and second entry, it would be done as follows:

ip access-list extended MyACL2  
  15 permit tcp any any eq 110

Now the show ip access-lists would say:

Extended IP access list MyACL2  
    10 permit tcp any any eq www  
    15 permit tcp any any eq pop3  
    20 permit tcp any any eq 443  
    30 permit udp any host 192.0.2.1 eq domain

I could use any number between 11 and 19, inclusive.

Now, if I wanted to remove the line 30 (the one permitting the DNS access), the command would be:

ip access-list extended MyACL2  
 no 30

The show ip access-lists would now produce:

Extended IP access list MyACL2  
    10 permit tcp any any eq www  
    15 permit tcp any any eq pop3  
    20 permit tcp any any eq 443

These numbers are not really stored in the configuration - they are only runtime-remembered. If you restart the router, they will be reset again to 10,20,30,etc. In case you need to resequence the ACL without restarting the router, you can use the command ip access-list resequence MyACL2 10 10 where the first “10” number specifies the starting number of the ACL entry, and the second “10” represents the increment. After entering this command in the global configuration mode, the show ip access-lists again shows:

Extended IP access list MyACL2  
    10 permit tcp any any eq www  
    20 permit tcp any any eq pop3  
    30 permit tcp any any eq 443

So to wrap it up, numbered ACLs and named ACLs have the same effect. However, the named ACLs are more flexible in the way they are defined, managed and referenced.

bitbot
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由器IP访问控制列表的功能及其配置命令
愚 公
05-20 1万+
》路由器IP访问控制列表(Access Control List,ACL)        通过路由器提供的访问控制列表可以根据一些准则锅炉不安全的数据包,如攻击包、病毒包等,以保证网络的可靠性和安全性。ACL适合于所有网络层协议,如IP/IPX/AppleTalk等协议。ACL的定义也是基于每一种协议的,但实际网络应用中,特别是在Internet上,都使用TCP/IP协议,因此基于IP协议的AC
思科Cisco路由器access-list访问控制列表命令详解
10-01
在Cisco路由器中,访问控制列表(access-list,ACL)是一种强大的工具,用于管理网络流量,通过对数据包进行筛选,允许或拒绝特定类型的通信。访问列表分为两种主要类型:标准访问列表和扩展访问列表。 标准访问...
IP访问控制列表
weixin_34037173的博客
03-27 206
IP访问控制列表本实验对IP访问控制列表进行配置和监测,包括标准、扩展和命名的IP访问控制列表。    1.实验目的    通过本实验,读者可以掌握以下技能:  ●配置标准IP访问控制列表;  ●配置扩展IP访问控制列表;  ●配置命名的标准IP访问控制列表;  ●配置命名的扩展IP访问控制列表;  ●在网络接口上引用IP访问控制列表;  ●在VTY上引用IP访问控制列表; ...
思科ACL访问控制列表配置命令教程
最新发布
2301_76845656的博客
05-25 2104
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
show access-list
weixin_34194379的博客
06-24 519
switch-2#show access-list Extended IP access list 104 10 permit ip host 192.168.104.5 any (406 matches) 20 permit ip host 192.168.104.181 any 30 permit ip host 192.168.104.1...
ACL
barry_yan
03-13 640
 CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。 (1)标准型IP访问列表的格式      ---- 标准型IP访问列表的格式如下:      ---- access-list[list number]
Packet Tracer 5.2实验(十二) 标准IP访问控制列表配置
weixin_33961829的博客
07-20 945
一、实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景 公司的经理部、财务部和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问。 三、技术原理 ACLs的全称为接入控制列表(Access Control Lists),也称为访问...
IPv4 ACL访问列表简介、ACL的3种主要分类介绍与配置、以大白话介绍ACL通配符、ACL动作、定义方向、Rule序号。
Hades_Ling的CSDN博客
12-19 2176
ACL访问控制列表(Access Control List)ACL可以对网络中报文流的精确匹配,通过与其它技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而保障网络环境的性能和网络服务质量的可靠性。ACL应用在功能/策略上时是不需要定义方向的,但应用在接口上时才需要定义方向。ACL的方向有inbound 入方向和outbound 出方向。如何判定入方向和出方向?基于数据流的走向定义应用的方向与ACL的匹配有何关联?
access-list详解
04-17
在Cisco路由器中,这可以通过`Router(config-if)# protocol access-group access-list-number {in|out}`命令来实现。 **控制Telnet会话** ACL也可用于控制远程登录服务如Telnet,通过拒绝或允许特定IP地址的连接...
CISCO路由器中的access-list详解.pdf
10-05
本文将详细讲解标准型 IP 访问列表和扩展型 IP 访问列表的格式、关键字和参数,并提供了一些实际应用的例子,帮助读者更好地理解和使用 Access-list。 标准型 IP 访问列表 标准型 IP 访问列表的格式为:`access-...
思科Cisco路由器access-list访问控制列表命令详解.docx
10-25
access-list访问控制列表命令可以分为标准型IP访问列表和扩展型IP访问列表两种,下面将对这两种类型进行详细解释。 标准型IP访问列表命令格式如下: access-list [list number] [permit|deny] [source address] ...
思科路由器access-list命令集合
07-01
思科路由器的access-list命令用法集合
access-list.docx
01-05
access-list 101 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 access-list 102 permit ip 10.1.1.0 0.0.0.255 any ``` 两者都允许从10.1.1.0/24网络到172.16.1.0/24网络的所有通信。 总结,IP访问控制列表...
access-list访问列表知识总结
03-04
1. **定义ACL**: 使用`ip access-list`命令创建访问列表,并为其分配编号。 2. **添加规则**: 在访问列表中定义规则,每个规则包括一个允许(permit)或拒绝(deny)的动作,以及匹配条件。 3. **应用ACL**: 将定义...
ip-adress.rar_LIST ACCESS MFC
09-24
标题“ip-adress.rar_LIST ACCESS MFC”提示我们这个压缩包包含了一个使用MFC来获取本地IP地址的程序,这涉及到网络编程和MFC类库的使用。 在Windows操作系统中,获取本机IP地址通常涉及到网络接口和协议栈的操作。...
思科Cisco路由器access-list访问控制列表命令详解终稿.pdf
02-26
标准型IP访问列表是思科Cisco路由器access-list访问控制列表命令的基本形式。其格式如下: access-list [list number] [permit|deny] [source address] [address] [wildcard mask] [log] 其中,list number是访问...
访问控制列表ACL access-listip access-list的区别
weixin_34130389的博客
03-17 3700
access-list 是用 数字 来定义 acl ip access-list 是用 名字 来定义 acl access-list access-list-number {permit | deny} {type-code wild-mask | address mask} ip access-list {standard | extended} access-list-n...
锐捷交换机——访问控制列表(ACL):扩展ACL
君逍遥o
10-09 2151
禁止vlan 2访问vlan3,但192.168.2.1这个地址不受限制。
路由器:访问控制列表
follow your heart
05-27 5950
前言: 配置路由器全网互通后,更高级一点希望网络中的资源不被非法使用和访问。 出现了访问控制,访问控制是网络安全防范和保护的主要策略, 主要任务是保证网络资源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 访问控制涉及的技术:包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 访问控制列表是其中重要的内容!根据列表来告诉路由器哪些数据包可以收、哪些数据包需...
ip access-list extended acl
03-29
An IP access-list extended (ACL) is a type of access control list used in network security to filter network traffic based on various criteria such as source and destination IP addresses, protocols, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值