思科CCNA ACL訪問控制列表基本用法分析

本文實例講述了思科CCNA ACL訪問控制列表基本用法。分享給大家供大家參考,具體如下:
ACL訪問控制列表
作用:
1、控制數(shù)據(jù)流量
2、抓取感興趣流量
訪問控制:當(dāng)流量在路由器上的各個接口,進(jìn)入或離開時,ACL對流量進(jìn)行匹配,之后產(chǎn)生動態(tài)—允許或拒絕
【1】分類:標(biāo)準(zhǔn)ACL 擴(kuò)展ACL
標(biāo)準(zhǔn)ACL:檢查數(shù)據(jù)源IP地址
擴(kuò)展ACL:檢查數(shù)據(jù)協(xié)議、源目IP地址 (上層協(xié)議)
ACL是一張表 每張ACL可包含多個條目 每個條目需要做permit/deny動作
允許 拒絕
【2】寫法:
1、編號寫法: 1-99 標(biāo)準(zhǔn) 100-199 擴(kuò)展 一個編號為一張表 刪除一條,整表消失
2、命名寫法: 一個名字為一張表 可以使用序號隨意的刪除或插入
【3】匹配規(guī)則
從上向下匹配 一旦匹配不再向下查詢 且每張ACL末尾存在隱藏拒絕所有
方向:in/out
【4】調(diào)用規(guī)則:盡早的進(jìn)行策略,避免流量在網(wǎng)絡(luò)無謂的傳輸;千萬不能誤刪掉不限制的流量;
標(biāo)準(zhǔn)ACL使用位置 在最靠近目標(biāo)的接口上調(diào)用
擴(kuò)展ACL使用位置 在最靠近源的接口上調(diào)用
注:cisco ACL不檢查本地數(shù)據(jù)流量
配置
編號寫法:
【1】標(biāo)準(zhǔn)ACL配置
R2(config)#access-list 1 deny 1.1.1.1 R2(config)#access-list 1 deny host 1.1.1.1 R2(config)#access-list 1 deny 1.1.1.0 0.0.0.255 通配符作用跟反掩碼一樣 R2(config)#access-list 1 permit any
【2】擴(kuò)展ACL配置
R1(config)#access-list 100 deny icmp host 1.1.1.1 host 2.2.2.1 源 源目 R1(config)#access-list 100 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1(config)#access-list 100 deny tcp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 eq 21
eq代表端口號
常見的端口號 FTP
文件傳輸協(xié)議 TCP 21
Telnet 遠(yuǎn)程登錄 TCP 23
HTTP 超文本傳輸協(xié)議 TCP 80 8080
DNS 域名解析系統(tǒng) UDP/TCP 53
HTTPS 安全HTTP TCP 443
命名寫法:
【1】標(biāo)準(zhǔn)ACL配置
R1(config)#ip access-list standard ccna R1(config-std-nacl)#10 permit host 1.1.1.1 host代表的是主機(jī)不用加0.0.0.0作用跟0.0.0.0一樣 R1(config-std-nacl)#permit 1.0.0.0
【2】擴(kuò)展ACL配置
R1(config)#ip access-list extended ccnp R1(config-ext-nacl)#10 deny icmp 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#intterface f0/0 R1(config-if)#ip access-group ccnp in
其他配置:
如三個路由器,讓R1Ping不通R3,但是R3能Ping通R1
R1(config)#ip access-list extended ccnp R1(config-ext-nacl)# deny icmp host 192.168.1.2 host 192.168.3.2 echo干掉去的流量 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#interface f0/1 R1(config-if)#ip access-group ccna in
讓R3Ping不通R1,但是R1能Ping通R3
R1(config)#ip access-list extended ccna R1(config-ext-nacl)#deny icmp host 192.168.1.2 host 192.168.3.2 echo-reply 干掉回的流量 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#interface f0/1 R1(config-if)#ip access-group ccna in
Echo表示源Ping不通目標(biāo),目標(biāo)能Ping通源
echo-reply表示源能Ping通目標(biāo),目標(biāo)Ping不通源
調(diào)用:
R2(config)#interface f0/1 R2(config-if)#ip access-group 1 out/in
查看ACL
R2#show ip access-lists
編號:通過編號可修改、增加、刪除 ACL中部分條目
R1(config)#ip access-list standard ccna R1(config-std-nacl)#no 編號
相關(guān)文章
思科Cisco路由器access-list訪問控制列表命令詳解
CISCO路由器中的access-list(訪問列表)最基本的有兩種,分別是標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表,二者的區(qū)別主要是前者是基于目標(biāo)地址的數(shù)據(jù)包過濾,而后者是基于目標(biāo)地址、源2013-01-25怎樣配置思科路由器自反ACL 實現(xiàn)網(wǎng)段之間單向訪問?
ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能,為了保護(hù)內(nèi)網(wǎng)的安全,可以只允許內(nèi)網(wǎng)訪問外網(wǎng),不允許外網(wǎng)訪問內(nèi)網(wǎng),這里利用cisco 路由器的自反ACL來實現(xiàn)。2014-09-29- 這篇文章主要介紹了思科CCNA telnet遠(yuǎn)程登錄配置方法,結(jié)合實例形式分析了思科路由器Telnet遠(yuǎn)程登錄配置步驟及客戶端、服務(wù)器端相關(guān)配置命令,需要的朋友可以參考下2020-03-06
思科CCNA路由器配置——DHCP+DHCP中繼服務(wù)配置實驗詳解
這篇文章主要介紹了思科CCNA路由器DHCP+DHCP中繼服務(wù)配置實驗,結(jié)合實例形式分析了思科路由器DHCP+DHCP中繼服務(wù)配置具體步驟、操作命令及相關(guān)注意事項,需要的朋友可以參考下2020-03-04思科CCNA路由器配置——PAP與CHAP認(rèn)證配置實驗詳解
這篇文章主要介紹了思科CCNA路由器PAP與CHAP認(rèn)證配置實驗,結(jié)合實例形式分析了思科路由器PAP與CHAP認(rèn)證配置具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可以參考下2020-03-04思科CCNA路由器配置——OSPF基于區(qū)域的MD5認(rèn)證實驗詳解
這篇文章主要介紹了思科CCNA路由器OSPF基于區(qū)域的MD5認(rèn)證實驗,結(jié)合實例形式詳細(xì)分析了思科CCNA OSPF基于區(qū)域的MD5認(rèn)證具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可2020-03-03思科CCNA路由器配置——基于區(qū)域的OSPF簡單認(rèn)證配置實驗詳解
這篇文章主要介紹了思科CCNA基于區(qū)域的OSPF簡單認(rèn)證配置實驗,結(jié)合實例形式分析了思科路由器配置區(qū)域OSPF認(rèn)證的具體步驟、配置命令與相關(guān)操作注意事項,需要的朋友可以參考下2020-03-03思科CCNA路由器配置——廣播多路訪問鏈路上的OSPF配置實驗詳解
這篇文章主要介紹了思科CCNA路由器廣播多路訪問鏈路上的OSPF配置實驗,結(jié)合實例形式總結(jié)分析了思科路由器作廣播形式的OSPF訪問配置相關(guān)步驟、配置命令與操作注意事項,需要的2020-03-02思科CCNA路由器配置——基于OSPF協(xié)議實現(xiàn)全網(wǎng)互通效果配置實驗詳解
這篇文章主要介紹了思科CCNA路由器基于OSPF協(xié)議實現(xiàn)全網(wǎng)互通效果配置實驗,結(jié)合實例形式分析了思科路由器使用OSPF協(xié)議進(jìn)行全網(wǎng)互聯(lián)配置的相關(guān)步驟、配置命令與操作技巧,需要2020-03-02