一、ACL的分类
-
标准访问列表
只能基于源IP地址来进行分类
可以使用列表号:1-99、1300-1999 -
扩展访问列表
可以根据源IP地址、目的IP地址、源端口号、目的端口号,协议来进行分类
可以使用列表号:100-199、2000-2699 -
命名的访问列表
只是将标准访问列表或扩展访问列表取个名字
优点:可以对访问列表进行增加、删除操作。
二、语法规则
- 从上往下查找匹配
- 默认deny any
- 至少有一句permit
- 精确的放最上面
- 3P原则:一个port、一个方向、一个协议,只能用一个ACL
- 入站ACL是首选的(节约资源)
- 能过滤过路的数据,不能过滤自己产生的
- 标准ACL-离目标越近越好
- 扩展ACL-离源越近越好
三、标准ACL配置
router(config)#access-list 10 permit 172.16.0.0 0.0.255.255
router(config)#access-list 20 deny 192.168.1.0 0.0.0.255
router(config)#access-list 20 permit any
router(config)#access-list 30 deny host 192.168.1.1
int f0/0
ip access-group 20 out
四、扩展ACL配置
router(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
router(config)#access-list 110 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
router(config)#permit ip any any
int f0/0
ip access-group 100 in
五、命名ACL配置
ip access-list standard/extended ccna
deny host 192.168.1.1
permit any
int f0/0
ip access-group ccna out
六、应用举例
1.只允许管理员通过VTY线路telnet路由器
R1(config)#access-list 1 permit 192.168.1.1
R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
2.单向ping:PC无法ping路由器,路由器可ping PC,telnet能通
access-list 100 deny icmp host 192.168.1.1 host 192.168.1.254 echo
access-list 100 permit ip any any
int f0/0
ip access-group 100 in
七、查看
show ip access-list
show ip interface
除非注明,肉饼博客文章均为原创,转载请以链接形式标明本文地址
本文地址:http://roubin.me/post/acl-basic/
网友评论