訪問控制列表(acl)是應用在路由器介面的指令列表(即規則)。這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。
訪問控制列表(acl)的工作原理
acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,對包進行過濾,從而達到訪問控制的目的。
acl是一組規則的集合,它應用在路由器的某個介面上。對路由器介面而言,訪問控制列表有兩個方向。
出:已經過路由器的處理,正離開路由器的資料報。
入:已到達路由器介面的資料報。將被路由器處理。
如果對路由器的某介面應用了acl,那麼路由器對資料報應用該組規則進行順序匹配,使用匹配即停止的,不匹配則使用預設規則的方式來過濾資料報。如下圖:
訪問控制列表的型別
配置標準控制列表
建立標準acl的語法如下:
router(config)#access-list access-list-number source [souce-wildcard]
下面是命令引數的詳細說明
access-list-number:訪問控制列表號,標準acl取值是1-99。
permit|deny:如果滿足規則,則允許/拒絕通過。
source-wildcard:萬用字元掩碼,也叫做反碼,即子網掩碼去反值。如:正常子網掩碼255.255.255.0取反則是0.0.0.255。
刪除已建立的標準acl語法如下:
router(config)#no access-list access-list-number
列如:建立乙個acl允許192.168.1.0網段的所有主機。
router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
列如:建立乙個acl允許某個主機。
router(config)#access-list 1 permit host 10.0.0.1
列如:建立乙個預設acl拒絕所有主機訪問。
router(config)#access-list 1 deny any
配置擴充套件訪問控制列表
建立擴充套件的acl語法如下:
router(config)#access-list access-list-number protocol [operator operan]
下面是命令引數的詳細說明
access-list-number:訪問控制列表號,擴充套件acl取值是100-199。
permit|deny:如果滿足規則,則允許/拒絕通過。
protocol:用來指定協議的型別,如ip,tcp,udp,icmp等。
souce-wildcard、destination-wildcard:子網反碼,souce-wildcard是源反碼,destination-wildcard是目標反碼。
operator operan:lt(小於)、gt(大於)、eq(等於)、neq(不等於)乙個埠號。
刪除已建立的擴充套件acl語法如下:
router(config)#no access-list access-list-number
列如:允許192.168.1.0/24訪問192.168.2.0/24,而拒絕其他所有主機訪問。
router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
router(config)#access-list 101 deny ip any any
列如:拒絕網路192.168.1.0/24訪問ftp伺服器192.168.2.100/24,而允許其他主機訪問。
router(config)#access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.100 eq 21
router(config)#access-list 102 permit ip any any
列如:禁止網路192.168.1.0/24中的主機ping同伺服器192.168.2.200/24,而允許其它主機訪問。
router(config)#access-list 103 deny icmp 192.168.1.0 0.0.0.255 host 192.168.1.200 echo
router(config)#access-list 103 permit ip any any
將建立好的acl應用與路由器的介面上
不管是標準acl還是擴充套件acl只有將建立好的acl應用與路由器的介面上才算是有效的。語法如下:
router(config-if)#ip access-group access-list-number
引數解釋如下:
access-list-number:建立acl時指定的訪問控制列表號
in:應用到入站介面。
out:應用出站介面。
取消介面上的acl應用可以使用如下命令:
router(config-if)#no ip access-group access-list-number
可以使用show access-lists命令檢視acl配置。
注意:不管是標準acl或者是擴充套件acl,只要應用了該規則就不可以在向裡面新增新的規則了,只能是刪除整個acl。這樣很不方便我們管理acl,那麼我們改這麼辦呢?下面我們來講解命名訪問控制列表。
配置命名訪問控制列表
所謂的命名控制列表就是給控制列表取個名字,而不是想上面所述的使用訪問控制列表號。我們通過命令訪問控制列表可以很方便的管理acl規則,可以隨便新增和刪除規則,而無需刪除整個訪問控制列表了。
建立命名訪問控制列表的語法如下:
router(config)#ip access-list access-list-name
下面是命令引數的詳細說明
standard:建立標準的命名訪問控制列表。
extended:建立擴充套件的命名訪問控制列表。
access-list-name:命名控制列表的名字,可以是任意字母和數字的組合。
標準命名acl語法如下:
router(config-std-nacl)#[sequence-number] source [souce-wildcard]
擴充套件命名acl語法如下:
router(config-ext-nacl)#[sequence-number] protocol [operator operan]
無論是配置標準命名acl語句還是配置擴充套件命名acl語句,都有乙個可選引數sequence-number。sequence-number引數表明了配置的acl語句在命令acl中所處的位置,預設情況下,第一條為10,第二條為20,以此類推。sequence-number可以很方便地將新新增的acl語句插於到原有的acl列表的指定位置,如果不選擇sequence-number,預設新增到acl列表末尾並且序列號加10。
刪去以建立的命名acl語法如下:
router(config)#no ip access-list access-list-name
對於命名acl來說,可以刪除單條acl語句,而不比刪除整個acl。並且acl語句可以有選擇的插入到列表中的某個位置,使得acl配置更加方便靈活。
如果要刪除某一acl語句,可以使用「no sequence-number」或「no acl」語句兩種方式。
列如:將一條新新增的acl加入到原有標準命名acl的序列15的位置。內容為允許主機192.168.1.1/24訪問internet。
router(config)#ip access-list standard test1
router(config-std-nacl)#15 permit host 192.168.1.1
列如:建立擴充套件命名acl,內容為拒絕192.168.1.0/24訪問ftp伺服器192.168.2.200/24,允許其他主機。
router(config)#ip access-list extended test2
router(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.200 eq 21
router(config-ext-nacl)#permit ip any any
將命名acl應用於介面語法如下:
router(config-if)#ip access-group aaccess-list-name
取消命名acl的應用語法如下:
router(config-if)#no ip access-group aaccess-list-name
來自為知筆記(wiz)
標準ACL 擴充套件ACL和命名ACL的配置詳解
訪問控制列表 acl 是應用在路由器介面的指令列表 即規則 這些指令列表用來告訴路由器,那些資料報可以接受,那些資料報需要拒絕。訪問控制列表 acl 的工作原理 acl使用包過濾技術,在路由器上讀取osi七層模型的第3層和第4層包頭中的資訊。如源位址,目標位址,源埠,目標埠等,根據預先定義好的規則,...
擴充套件ACL
實驗拓撲以及位址規劃 要求 拒絕pc0 所在網段訪問server 172.84.3.100 的web 服務 拒絕pc1 所在網段訪問server 172.84.3.100 的ftp 服務 拒絕pc0 所在網段訪問server 172.84.3.100 的sql 服務 拒絕pc0 所在網段訪問路由器r...
思科高階配置 配置擴充套件命名ACL
問題 使用基本編號的acl沒有實際意義,只有通過閱讀具體的條目才能得知該acl的作用。而且acl的編號有限制,如傳統的標準acl用199表示,擴充套件acl用100199表示。1 配置擴充套件命名acl實現拒絕pc2 ip位址為192.168.0.20 訪問web server web服務,但可訪問...