ACL 配置

最新推荐文章于 2021-12-11 15:02:03 发布

weixin_34218579

最新推荐文章于 2021-12-11 15:02:03 发布

阅读量137

点赞数

文章标签：网络

原文链接：http://blog.51cto.com/baoyb/1311252

版权

ACL配置

1.为什么要使用ACL

随着网络的增长,要求对IP流量进行管理

通过在路由器中设置包过滤来管理IP流量.提高内部网的安全性

2.什么是ACL

ACL是一个授权和拒绝条件的序列表,不能过滤本地路由器的流量

3.ACL的用途

用于各个LAN间接口,过滤LAN流量,用于VTY,过滤Telnet

4.ACL分类

标准ACL(standard):检查数据包的源地址

扩展ACL(extended):检查数据包源地址、目的地址、特定的协议、端口号码以及其他参数。使用更灵活。

5.ACL配置

5.1配置ACL要点

(1).访问列表要指明过滤什么协议

(2).按照顺序匹配访问列表

(3).一般限制性的访问列表应该放在前面

(4).在访问列表的最后稳定性定义了deny any(拒绝所有访问)，所以每个范文列表应该至少包含一条permit声明，后使用

(5).访问列表过滤通过路由器的流量，但不会应用于源自路由的流量。

5.2 配置ACL的步骤

(1) 创建ACL

access-list access-list-number{permit(允许)|deny(不允许)}{testcondition}

(2)将ACL绑定到接口

{protocol} access-group access-list-number{in(入栈ACL)|out(出栈ACL)}

5.3反转掩码

(1)反转掩码的作用:

使用IP地址与翻转掩码地址对来定义测试条件

简化测试过程,避免额外的输入

(2)翻转掩码的格式

与子网掩码类似,翻转掩码是由0、1二进制组成的32位数字，分成4段：如下图:

(3)翻转掩码的配置规则:1意味着忽略 0意味着检查

Any和Host

Host: 172.10.16.11 0.0.0.0=host172.10.16.11

Any:0.0.0.0 255.255.255.255=any

5.4标准ACL的创建

(1)创建标准ACL

access-list access-list-number{permit|deny}source[mask]

为访问列表条目设置参数：

A．IP标准访问列表使用：1-99

B．缺省wildcard mask=0.0.0.0

C．“no access-list access-list-number”命令删除访问列表条目

(2)绑定ACL到指定的接口

ip access-group access-list-number{in|out}

在接口配置模式激活访问列表：

A．设置inbound或outbound匹配

B．缺省是outbound

C．“no ipaccess-group access-list-number”命令从接口取消激活访问列表

5.5扩展ACL的配置

(1)扩展ACL和标准ACL的比较

(2)扩展ACL的创建

access-list access-list-number{permit|deny}protocol sourcesource-wildcard[operator port]destination destination-wildcard operatorport][established][log]

access-list 号码permit|deny 协议源源反转码源端口目的目的反转码端口

access-list-number:100-199

permit|deny:指明允许还是拒绝

protocol:允许指定协议(IP,TCP,UDP,ICMP,IGRP)

source和destination:指明源和目的地址

operator port:lt,gt,eq,neq(小于,大于,等于,不等于)端口号

established(既定的):只用于inbound TCP,允许TCP建立连接(列如,ACK被置位)

(3)扩展ACL的绑定

ip access-group access-list-number{in|out}

5.6标识ACL的配置

(1)标识ACL

使用字符串代替数字,来标识ACL

优点:

a.用有含义的字符串直观标识一个ACL

b.需要的配置超出了99个标准ACL或者100个扩展ACL时,可以采用命名ACL

c.当修改ACL中的某一条语句时,可以在不删除整个ACL的情况下修改它

注意:

a.命名ACL与Cisco IOS11.2之前的版本不兼容

b.命名ACL也不包含标准和扩展ACL

c.不能为多个ACL使用相同的名字.不同类型的ACL也不能使用相同的名字

(2)标识ACL的创建

ip access-list{standard|exteded}name{permit|deny}{ip access listtest conditions}

(3)标识ACL的绑定

ip access-group name{in|out}

转载于:https://blog.51cto.com/baoyb/1311252

weixin_34218579

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
ACL 配置

ACL配置1.为什么要使用ACL随着网络的增长,要求对IP流量进行管理通过在路由器中设置包过滤来管理IP流量.提高内部网的安全性2.什么是ACLACL是一个授权和拒绝条件的序列表,不能过滤本地路由器的流量3.ACL的用途用于各个LAN间接口,过滤LAN流量,用于VTY,过滤Telnet4.ACL分类标准ACL(standard):检查数据包的源地址扩展ACL(extended...
复制链接

扫一扫

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。