ACL 访问控制列表
一.ACL的作用
1.控制数据流量
2.抓取感兴趣流量
二.分类:
标准ACL:检查数据源IP地址
扩展ACL:检查数据协议,源目IP地址(上层协议)
注意:ACL是一张表,每张ACL表可包含多个条目
每个条目需要做permit/deny动作
三.写法
1.编号 1-99 标准
100-199 扩展
2.命名
匹配规则为:
从上向下匹配。一旦匹配不再向下查询,且每张ACL表末尾隐藏拒绝所有
方向分为:in/out
(1)标准ACL使用位置 在最靠近目标的接口上调用
(2)扩展ACL使用位置 在最靠近源的接口上调用
编号写法:
标准ACL配置
R2(config)#access-list 1 deny 1.1.1.1
R2(config)#access-list 1 deny host 1.1.1.1
R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255
通配符
R2(config)#access-list 1 permit any
扩展ACL配置
R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
通配符: 0为固定位 1为可变位
命名写法:
标准ACL配置
R1(config)#ip access-list standard ccna
R1(config-std-nacl)#10 permit host 1.1.1.1
R1(config-std-nacl)#permit 1.0.0.0
扩展ACL配置
R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
outer(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.2 echo干掉去的流量
outer(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.2 echo-replay干掉回的流量
调用:
R2(config)#interface f0/1
R2(config-if)#ip access-group 1 out
查看ACL
R2#show ip access-lists
编号:通过编号可修改、增加、删除 ACL中部分条目
R1(config)#ip access-list standard ccna
R1(config-std-nacl)#no 10
小知识点:
telnet远程登录
先定义数据库
username ccna privilege 15 password 0 cisco
调用在Vty线路
line vty 0 4
login local