ACL:满足条件,执行动作
ID:100-199
特点:可以基于源IP、目的IP、端口号、协议等对包进行过滤
命令:
acc 100 {permit|deny} 协议 源IP/源网段 反子网掩码 目的IP/目的网段 反子网掩码 [eq 端口号]
注释:
协议:4层 tcp/udp、3层 icmp/ip
当命令后面加端口号时,只能选择tcp/udp,反之tcp/udp/icmp/ip都可选用
eg:
acc 100 deny udp ho 10.1.1.1 ho 20.1.1.1 eq53 //拒绝主机10.1.1.1向主机20.1.1.1发送udp协议且端口号为53的包,即拒绝dns请求
acc 100 permit icmp ho 10.1.1.1 20.1.1.0 0.0.0.255 //允许主机10.1.1.1向20.1.1.0网段的主机ping
acc 100 deny ip ho 10.1.1.1 20.1.1.0 0.0.0.255 //拒绝主机10.1.1.1.向20.1.1.0网段所有主机发送ip包
acc 100 per ip any any //允许所有主机发送ip包
命名ACL
作用:可以对标准或者扩展ACL进行自定义命名
优点:自定义命名更容易辨认,便于记忆
可以任意修改某一条,或删除某一条,也可以在中间插入某一条
命令:
conf t
ip access-list standard/extended 自定义表名
开始从deny、permit编写ACL条目(动作+条件)
exit
删除某一条:
ip acc standard/extended 表名
no 条目ID
exit
插入某一条:
ip acc standard/extended 表明
条目ID 动作 条件
exit