标准ACL:
表号:1-99
特点:只能基于源IP对包进行过滤
命令:
conf t
access-list 表号 permit/deny 源IP或源网段 反子网掩码
注释:
反子网掩码:0和1倒置,用来匹配条件,与0对应的严格匹配,与1对应的忽略
255.0.0.0 -- 0.255.255.255
例如:access-list 1 deny 10.1.1.1 0.0.255.255
解释:该条目用来拒绝所有10.1开头的主机
查看ACL表:show ip access-list [表ID]
将ACL应用到接口: int f0/x
ip access-group 表号 in/out
sh run
完整案例:
conf t
acc 1 deny host 10.1.1.1
acc 1 deny 20.1.1.0 0.0.0.255
acc 1 permit any
扩展 ACL:
表号:100-199
特点:可以基于源IP、目标IP、端口号、协议等对包进行过滤
命令:
conf t
access 表号 permit/deny 协议 源IP或源网段 反子网掩码 目标IP或源网段 反子网掩码 [eq 端口号]
注释:
反子网掩码:0和1倒置,用来匹配条件,与0对应的严格匹配,与1对应的忽略
255.0.0.0 -- 0.255.255.255
协议:tcp/udp/icmp/ip
例如:acc 100 deny ip host 10.1.1.1 20.1.1.0 0.0.255.255
解释:该条目用来拒绝10.1.1.1访问20.1.1.0网段的信息
查看ACL表:show ip access-list [表ID]
将ACL应用到接口: int f0/x
ip access-group 表号 in/out
sh run
命名ACL:
作用:可以对标准或扩展ACL进行自定义命名
优点:更容易辨认,也更容易记忆!可以修改,插入、删除某一条。
命令:
ip access-list standard/extended kz-80-oa(自定义表名)
10 permit tcp 198.168.0.0 0.0.255.255 host 10.1.1.1 eq 80
do sh ip acce
删除某一条:
ip access-list standard/extended kz-80-oa(自定义表名)
no 条目ID
exit
插入:
ip access-list standard/extended kz-80-oa(自定义表名)
条目ID 动作 条件