目录
- 一、标准ACL
- 1、ACL基本概念
- 1.1、什么是访问控制列表
- 1.2、工作原理
- 1.3、访问控制列表分类(思科设备)
- 1.4、配置
- 1.5、ACL的应用规则
- 二、扩展ACL
- 三、命名ACL
一、标准ACL
1、ACL基本概念
1.1、什么是访问控制列表
- 是一种基于包过滤的访问控制技术(拆网络层的IP地址),广泛应用于路由嚣和三层交换机中,基于数据包的五元组进行过滤(源IP,目标P,源端口,目标端口,协议)
- 读取三层(网络层)和四层(传输层)
1.2、工作原理
- 数据的流量走向(确定,路由器的入口或出口,建议是将ACL应用在入口,从而减少路由器的路由的工作量)
- 工作过程
1.3、访问控制列表分类(思科设备)
- 标准
- 基于源P地址进行控制。
- 表号:1~99
- 扩展
- 基于源IP、目的IP、指定协议、端口号、标志位来过滤。
- 表号:100~199
- 命名
- 没有表号,使用名字作为表号
- 直接使用: standard标识标ACL extended标识扩展ACL
1.4、配置
配置一:配置标准的访问控制列表
#创建
access-list 1 permit/deny host 192.168.1.1#某台主机
access-list 1 permit/deny 192.168.1.1 0.0.0.0#某台主机
access-list 1 permit/deny 192.168.1.0 0.0.0.255#某个网段
access-7ist 1 permit /deny any#所有
#将访问控制列表应用到接口
int f0/0
ip access-group 1 in/out
#in此接口为入口
#out此接口为出口
1.5、ACL的应用规则
- 在一个接口的一个方向上只能应用一个访问控制列表
access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in#这条生效
ip access-aroup 2 in # 这条不生效
ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,所以相当于白费,且白占用资源
二、扩展ACL
access-list 100 permit/deny 协议(icmp ip tcp udp) 源地址 目的地址(eq/gt/lt/neq/range)三、命名ACL
