文章目录
路由器配置命令:
扩展acl:
access-list 100 permit tcp(协议) any(源地址) host(目标地址:单一主机名) 70.1.1.100 eq(gt 大于 lt 小于 neq 不等于) 80
do show access # 显示ACL
int f0/1 #进入端口
ip access-group {[access-list-number] |[ name]} [in | out] #定义acl的进出端口
本命令的no操作为解除访问列表应用到相关接口,若没有指定方向,则默认为out
如果想ping通70.1.1.其他主机:
access-list 100 deny ip any host 70.1.1.100
access-list 100 permit ip(所有网络协议) any any
no access 100 # 删除acl 100
上述配可以浏览网页,但是不能ping通是因为:
在ACL中默认最后一条 access-list 100 deny any any (默认规则)
ping 属于icmp协议,故会丢弃,所以产生可以访问页面,但是ping 不通的情况
ACL书写注意:
- 先判断要控制的数据流源和目标,并画出控制数据流的方向!进而判断了要控制的数据流的必经之地!
进而判断ACL表应该写在哪台路由器上,哪个接口上,哪个方向! - 打开那台路由器,开始编写ACL表的过滤规则!(怎么写)
写ACL的思路:先确认最后应该拒绝所有,还是允许所有!!! - 最后将ACL表应用到接口的某个方向上,才能生效!
自定义ACL:
ip access_list extended cw-ruler #自定义访问控制列表是cw-ruler
ip access-list standard(标准)/extended(扩展) 自定义表名
permit tcp any host 70.1.1.100 eq 80 ## 允许任何地址的TCP报文到达70.1.1.100的80端口
permit tcp any host 70.1.1.100 eq 23 ##允许任何地址的TCP报文到达70.1.1.100的23端口
deny ip any host 70.1.1.100 ##拒绝任何地址的基于任何网络协议的数据包到达70.1.1.100
permiit ip any any (最后一条规则)
ACL要应用到出入口上:
int f0/1 #进入端口
ip access-group {[access-list-number] |[ name]} [in | out] #定义acl的进出端口
本命令的no操作为解除访问列表应用到相关接口,若没有指定方向,则默认为out
自定义的扩展ACL中一条写错了怎么改?
ip access-list extended cw-ruler #进入自定义ACL中
no 20 #删除自定义ACL中序号为20的控制信息条目
想在自定义扩展ACL中增加一个条目:
例如11
11 permit tcp any host 70.1.1.100 eq 21