ACL(access control list)访问控制列表
1.匹配规则
(1) 按照从上到下依次匹配
(2) 如果有一条一旦匹配完成,就不再进行后续报文的匹配
(3)隐含的一条是拒绝所有
(4) ACL中最少要有一条允许的条目,否则没有意义
2.分类:标准ACL和扩展ACL
(1)标准ACL:
(1.1)基于源IP地址过滤数据包
(1.2) 标准访问控制列表的访问控制列表号是1~99
(1.3)格式: Router(config)#access-list 编号 (permit:允许或 deny:拒绝 )source(允许或者拒绝的网段) 通配符掩码
例如:
access-list 1 permit 192.168.1.0 0.0.0.255 //匹配流量:192.168.1.0/24,用的是反掩码,精确匹配到192.168.1
access-list 1 permit host 192.168.1.1 0.0.0.0 //精确匹配主机192.168.1.1
(2)扩展ACl:(指定协议)
(2.1)基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
(2.2)扩展访问控制列表的访问控制列表号是100~199
(2.3)格式:access-list 101 permit ip any any //第一个any是源,第二个any是目标
例如:
access-list 100 permit tcp host 192.168.1.1 host 192.168.2.2 eq 80
access-list 100 deny icmp host 192.168.1.1 host 192.168.2.2
access-list 100 permit tcp host 192.168.1.2 host 12.1.1.2 eq telnet
3.标准ACL配置步骤:
(1)定义ACL
(2)应用到接口(尽量应用到入接口,ACL只有应用到接口,才会生效)
int f0/1
ip access-group 编号 in/out
(3)检查ACL的匹配情况
Router#show access-lists //match表示匹配了该条目
检查结果:
Standard IP access list 1
1 permit host 192.168.1.1 (4 match(es))
ACL(access control list)访问控制列表
最新推荐文章于 2022-03-14 20:23:20 发布