簡單學習 Access Control List

前言：繼續(xù)網絡知識壳坪，這一篇博客簡單介紹一下 Access Control List读整，以及如何配置

什么是 Access Control List

快看這個路由器

這個路由器有四個接口，每個接口都有兩個方向：進和出

Access Control List 就是限制這些接口的進出流量

有兩種 ACL：

標準訪問控制列表（standard access lists）

1）只能根據源地址做過濾

擴展訪問控制列表（extended access lists）

1）能根據源、目的地地址糊识、端口號等等進行過濾

2）能允許或拒絕特定的協議

在開始配置之前我們要繼續(xù)學習 ACL 是什么時候開始對照路由表的

入口

在入口方向：先檢查是否運行進入，一般配置進口 ACL 的時候至少寫一條 permit 如果不寫的話會 deny 所有

出口

在出口方向：是先檢查有沒有這個路由

如何配置

可以有多種 ACL，每種 ACL 都有編號赂苗，而對于不同的 ACL 的類型愉耙，所屬編號不一樣

也可以為 ACL 取名字

具體配置如下：

其中：/ / 之間是要填的內容，[//] 是選填的內容

標準訪問控制列表

// 創(chuàng)建 acl
Router(config)#ip access-list standard /number/

// 寫入規(guī)則
Router(config)#access-list /number/ {permit|deny} /source/ /wildcard mask/

// 進入接口
Router(config)#int e0/1

// 設置進口還是出口應用 acl
Router(config-if)ip access-group /number/  { in | out }

擴展訪問列表

// 創(chuàng)建 acl
Router(config)#ip access-list extended {/name/|/number/} 


// 配置規(guī)則
Router(config)#access-list /number/ {permit | deny} /protocol/ /source/ /source-wildcard/ [/operator port/]  /destination/ /destination-wildcard/ [/operator port/] 

// 進入接口
Router(config)#int e0/0

// 設置進口還是出口應用 acl
Router(config-if)ip access-group /number/  { in | out }

查看

Router# show access-lists

刪除

Router(config)#no ip access-list /number/

提一嘴通配符

這就是通配符

比如說 192.168.10.1 和通配符 0.0.0.3 = 0.0.0.0000011

可以匹配：

192.168.10.0
192.168.10.1
192.168.10.2
192.168.10.3

實戰(zhàn)

禁止 PC1 ping 通路由
允許 PC2 ping 通 PC3拌滋，禁止 ping 通 PC4

PC1：

PC1 的 ip 是192.168.15.1/24 網關是 192.168.15.5

// 配置規(guī)則
Router(config)#ip access-list standard 1
Router(config-std-nacl)#1 deny 192.168.15.5 0.0.0.0

// 配置接口
Router(config)#int e0/1
Router(config-if)#ip access-group 1 in

PC2：

// 配置規(guī)則
Router(config)#ip access-list extended 100
Router(config-ext-nacl)#100 deny icmp 192.168.25.2 0.0.0.0 192.168.45.4 0.0.0.0  

// 配置接口
Router(config)#int e0/3 
Router(config-if)#ip access-group 100 out

最后編輯于：2019.07.08 21:21:21

?著作權歸作者所有,轉載或內容合作請聯系作者