ACL访问控制列表配置.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ACL的使用
ACL的处理过程:
1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)
2.语句顺序
按照由上而下的顺序处理列表中的语句
3. 语句排序
处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4.隐含拒绝
如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)
要点:
1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2.如果在语句结尾增加deny any的话可以看到拒绝记录
3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:
编号方式
标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号
一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。)
允许172.17.31.222通过,其他主机禁止
Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许
Cisco-3750(config)#access-list 1 deny host 172.17.31.222
Cisco-3750(config)#access-list 1 permit any
允许172.17.31.0/24通过,其他主机禁止
Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)
禁止172.17.31.0/24通过,其他主机允许
Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254
Cisco-3750(config)#access-list 1 permit any
二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。)
允许172.17.31.222访问任何主机80端口,其他主机禁止
Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
允许所有主机访问172.17.31.222主机telnet(23)端口其他禁止
Cisco-3750(config)#access-list 100(100-199、2000-2699)permit tcp any host 172.17.31.222 eq 23
接口应用(入方向)(所有ACL只有应用到接口上才能起作用)
Cisco-3750(config)#int g1/0/1
Cisco-3750(config-if)#ip access-group 1 in(出方向out)
命名方式
一、标准
建立标准ACL命名为test、允许172.17.31.222通过,禁止172.17.31.223通过,其他主机禁止
Cisco-3750(config)#ip access-list standard test
Cisco-3750(config-std-nacl)#permit host 172.17.31.222
Cisco-3750(config-std-nacl)#deny host 172.17.31.223
建立标准ACL命名为test、禁止172.17.31.223通过,允许其他所有主机。
Cisco-3750(config)#ip access-list standard test
Cisco-3750(config-std-nacl)#deny host 172.17.31.223
Cisco-3750(config-std-nacl)#permit any
二、扩展
建立扩展ACL命名为test1,允许172.17.31.222访问所有主机80端口,其他所有主机禁止Cisco-3750(config)#ip access-list extended test1
Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31.222 any eq www
建立扩展ACL命名为test1,禁止所有主机访问172.17.31.222主机telnet(23)端口,但允许访问其他端口
Cisco-3750(config)#ip access-list extended test1
Cisco-3750(config-ext-nacl)#deny tcp any host 172.17.31.222 eq 23
Cisco-3750(config-ext-nacl)#permit tcp any any
接口应用(入方向)(所有ACL只有应用到接口上才能起作用)
Cisco-3750(config)#int g1/0/1
Cisco-3750(config-if)#ip access-group test in(出方向out)
接口应用原则
标准ACL,的应用靠近目标地址
扩展ACL,的应用靠近源地址
网上资料:
Cisco ACL原理及配置详解
什么是ACL?