思科CCNA ACL访问控制列表基本用法分析
我要评论本文实例讲述了思科CCNA ACL访问控制列表基本用法。分享给大家供大家参考,具体如下:
ACL访问控制列表
作用:
1、控制数据流量
2、抓取感兴趣流量
访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动态—允许或拒绝
【1】分类:标准ACL 扩展ACL
标准ACL:检查数据源IP地址
扩展ACL:检查数据协议、源目IP地址 (上层协议)
ACL是一张表 每张ACL可包含多个条目 每个条目需要做permit/deny动作
允许 拒绝
【2】写法:
1、编号写法: 1-99 标准 100-199 扩展 一个编号为一张表 删除一条,整表消失
2、命名写法: 一个名字为一张表 可以使用序号随意的删除或插入
【3】匹配规则
从上向下匹配 一旦匹配不再向下查询 且每张ACL末尾存在隐藏拒绝所有
方向:in/out
【4】调用规则:尽早的进行策略,避免流量在网络无谓的传输;千万不能误删掉不限制的流量;
标准ACL使用位置 在最靠近目标的接口上调用
扩展ACL使用位置 在最靠近源的接口上调用
注:cisco ACL不检查本地数据流量
配置
编号写法:
【1】标准ACL配置
R2(config)#access-list 1 deny 1.1.1.1 R2(config)#access-list 1 deny host 1.1.1.1 R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩码一样 R2(config)#access-list 1 permit any
【2】扩展ACL配置
R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1
源 源目
R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
eq代表端口号
常见的端口号 FTP
文件传输协议 TCP 21
Telnet 远程登录 TCP 23
HTTP 超文本传输协议 TCP 80 8080
DNS 域名解析系统 UDP/TCP 53
HTTPS 安全HTTP TCP 443
命名写法:
【1】标准ACL配置
R1(config)#ip access-list standard ccna R1(config-std-nacl)#10 permit host 1.1.1.1 host代表的是主机不用加0.0.0.0作用跟0.0.0.0一样 R1(config-std-nacl)#permit 1.0.0.0
【2】扩展ACL配置
R1(config)#ip access-list extended ccnp R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#intterface f0/0 R1(config-if)#ip access-group ccnp in
其他配置:
如三个路由器,让R1Ping不通R3,但是R3能Ping通R1
R1(config)#ip access-list extended ccnp R1(config-ext-nacl)# deny icmp host 192.168.1.2 host 192.168.3.2 echo干掉去的流量 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#interface f0/1 R1(config-if)#ip access-group ccna in
让R3Ping不通R1,但是R1能Ping通R3
R1(config)#ip access-list extended ccna R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.3.2 echo-reply 干掉回的流量 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#interface f0/1 R1(config-if)#ip access-group ccna in
Echo表示源Ping不通目标,目标能Ping通源
echo-reply表示源能Ping通目标,目标Ping不通源
调用:
R2(config)#interface f0/1 R2(config-if)#ip access-group 1 out/in
查看ACL
R2#show ip access-lists
编号:通过编号可修改、增加、删除 ACL中部分条目
R1(config)#ip access-list standard ccna R1(config-std-nacl)#no 编号
相关文章
思科Cisco路由器access-list访问控制列表命令详解
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源2013-01-25- ACL可以限制网络流量、提高网络性能,为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。2014-09-29
- 这篇文章主要介绍了思科CCNA telnet远程登录配置方法,结合实例形式分析了思科路由器Telnet远程登录配置步骤及客户端、服务器端相关配置命令,需要的朋友可以参考下2020-03-06
思科CCNA路由器配置——DHCP+DHCP中继服务配置实验详解
这篇文章主要介绍了思科CCNA路由器DHCP+DHCP中继服务配置实验,结合实例形式分析了思科路由器DHCP+DHCP中继服务配置具体步骤、操作命令及相关注意事项,需要的朋友可以参考下2020-03-04
这篇文章主要介绍了思科CCNA路由器PAP与CHAP认证配置实验,结合实例形式分析了思科路由器PAP与CHAP认证配置具体步骤、配置命令与相关操作注意事项,需要的朋友可以参考下2020-03-04
思科CCNA路由器配置——OSPF基于区域的MD5认证实验详解
这篇文章主要介绍了思科CCNA路由器OSPF基于区域的MD5认证实验,结合实例形式详细分析了思科CCNA OSPF基于区域的MD5认证具体步骤、配置命令与相关操作注意事项,需要的朋友可2020-03-03
思科CCNA路由器配置——基于区域的OSPF简单认证配置实验详解
这篇文章主要介绍了思科CCNA基于区域的OSPF简单认证配置实验,结合实例形式分析了思科路由器配置区域OSPF认证的具体步骤、配置命令与相关操作注意事项,需要的朋友可以参考下2020-03-03
思科CCNA路由器配置——广播多路访问链路上的OSPF配置实验详解
这篇文章主要介绍了思科CCNA路由器广播多路访问链路上的OSPF配置实验,结合实例形式总结分析了思科路由器作广播形式的OSPF访问配置相关步骤、配置命令与操作注意事项,需要的2020-03-02
思科CCNA路由器配置——基于OSPF协议实现全网互通效果配置实验详解
这篇文章主要介绍了思科CCNA路由器基于OSPF协议实现全网互通效果配置实验,结合实例形式分析了思科路由器使用OSPF协议进行全网互联配置的相关步骤、配置命令与操作技巧,需要2020-03-02
最新评论