ACL控制访问列表

ACL控制访问列表

 


一、ACL访问控制列表概述

访问控制力列表(Access Control Table List)是最常用的网络流量限制技术,通过该技术可以为路由器或者交换机的接口配置一些控制命令,用来控制接口的进出数据包。配置ACL主要有两步,首先要指定访问条件,需要创建列表编号(1-99,100-199)或者名称;然后在指定的列表编号或者名称内添加流量筛选条件(ip地址、路由、协议),并指定是允许(permit)还是拒绝(deny)

访问控制列表根据筛选条件不同,一般可以分两种。一种是标准访问控制列表,一种是扩展访问列表。其中标准访问控制列表只可以限定源地址的流量,通常使用1-99的列表编号;扩展访问控制列表可以针对源地址目标地址传输层协议源端口目标端口等进行流量控制,通常使用100-199的列表编号。


二、ACL访问控制列表的语句结构

acl列表基本结构:

access-list编号 + permit/deny ip/tcp 源地址 +(目标地址)+ eq + ftp/www


三、标准ACL语法

1.access-list接源ip地址,格式:access-list+编号+permit+host+源地址

举例(1):access-list 1 permit host 192.168.2.1          //允许主机地址192.168.2.1的流量通过

2.access-list接源网段,格式:access-list+编号+permit+源网段+源网段的反掩码

举例(2):access-list 1 permit 192.168.1.0 0.0.0.255      //允许192.168.1.0 0/24网段地址的流量通过

3.拒绝某个源地址/网段流量通过,然后再允许所有流量通过

(1)access-list 1 deny host 192.168.1.2      //拒绝源地址192.168.1.2的流量通过

access-list 1 deny permit any                //允许除192.168.1.2其他所有的流量通过(注:any表示所有主机)

 (2)access-list 2 deny 192.168.3.0 0.0.0.255   //拒绝192.168.3.0 0/24网段地址的流量通过

access-list 2 deny permit any                //允许除192.168.3.0 0/24网段其他所有的流量通过(注:any表示所有主机)


四、删除ACL访问控制列表

no access-list 1    //删除表号为1的规则


五、控制访问列表ACL在路由器或交换机接口上的应用

1.int f0/1/vlan 20                    //进入接口f0/1配置或vlan 20配置

2.ip access-list 1 in/out         //把表号1的规则应用到入口(in)或出口(out)方向

3.ip access-group 101 in/out     //把表号101的规则应用到入口(in)或出口(out)方向


六、扩展ACL的配置语法

1.允许一个网段访问另一个网段,拒绝其他所有流量通过

(1)access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255         //创建一个表号为101的ACL,规则为允许192.168.1.0 0/24的网段访问192.168.1.2.0 0/24网段的流量通过

(2)access-list 101 deny ip any                                   //除了(1)的流量,拒绝其他所有流量通过

2.拒绝一个网段访问目标地址21端口的流量通过,允许其他所有流量通过

(1)access-list 102 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21          //拒绝192.168.1.0 0/24网段访问主机192.168.2.2,端口号为21的流量通过

(2)access-list 102 permit ip any any            //允许除了(1)的所有流量通过


七、定时访问控制列表配置

time-range telnettime                         //定义时间范围

periodic weekday 08:00 to 18:00      //定制周期执行时间为工作日的08:00 —— 18:00

periodic weekend 08:00 to 12:00      //定制周期性执行时间为周末的08:00——18:00

exit

access-list 104 deny ip 192.168.3.0 0.0.0.255 any       //禁止表号104的192.168.3.0 0/24的流量

access-list 104 permit any any time-range telnettime    //应用访问控制时间,定义流量筛选条件

int f0/6

ip access-group 104 out                             //在接口F0/6的出方向应用acl104的规则

上一篇:oracle断电重启之ORA-00600[4194]


下一篇:HCNP学习笔记之史上最全华为路由器交换机配置命令大合集