Cisco交换机ACL的配置
访问控制列表(Access Control List ACL)的含义和做用就不讲了,自行百度服务器
一 .ACL讲解测试
ACL分标准访问控制列表(Standard ACL)和拓展访问控制列表(Extended ACL),以下spa
① 标准ACL(访问控制列表号1—99或1300—1999)
只过滤源地址,容许或禁止整个TCP/IP协议族
通常配置在靠近流量目的地的接口
配置方法以下:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#access list 1 deny any //系统隐含条件(implicit deny any)
router(config)#interface F0/0
router(config-if)#ip access-group 1 in
router(config-if)#exit
router(config)#interface F0/1
router(config-if)#ip access-group 1 out
router(config-if)#no ip access-group 1 out //在端口上卸除ACL绑定3d
值得注意的是要改变ACL列表条件只能删除整个表:
router(config)#no access-list 1
router
②拓展ACL(访问控制列表标号100-199或2000-2600)
过滤源或目的地址,容许或拒绝一个具体的协议和端口号
通常放在靠近流量源头处
用到端口号时经常使用的英文缩写 it gt eq neq(<、>、=、≠)
常见熟知端口号:
20 文件传输协议(FTP)数据通道
21 文件传输协议(FTP)控制通道
23 远程登陆(Telnet)
25 简单邮件传输协议(SMTP)
53 域名服务系统(DNS)
69 普通文件传输协议(TFTP)
80 超文本传输协议(HTTP)
例1:
router(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router(config)#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router(config)#access-list 101 deny ip any any //系统隐含条件(implicit denyall)
router(config)#interface s0
router(config-if)#ip access-group 101 out
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router(config)#interface f0/0
router(config-if)#ip access-group 102 out
例2:
容许192.168.10.10 ping 172.16.1.1,禁止反向测试:
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router(config)#access-list 199 permit ip any any
blog
③命名IP ACL(Cisco IOS v11.2之后支持)
例:
router(config)#access-list standard acl_1 //注明standard仍是extended控制列表,名字可以使用大多数字符
router(config-std-nac)#permit 172.18.0.0 0.0.255.255 log
router(config-std-nac)#no permit 172.18.0.0 0.0.255.255 log //no 命令移去特定语句
router(config)#interface f0/0
router(config-if)#ip access-group acl_1 out
④查看ACL列表
router(config)# show ip interface e0 //查看接口ACL绑定状况
router(config)# show accesslists //监视ACL内容
router(config)#show access-list [acl表号]】
接口
二.实例ip
拓扑图以下(路由配置用的是RIP),其中DNS服务器中有两条记录:ssl
ns.shzu.edu.cn 2.2.2.200ci
ftp.shzu.edu.cn 2.2.2.100
实验要求:
①1.1.1.0/24网段中的全部节点能ping通2.2.2.0/24网段中的DNS服务器,而没法ping通其余节点
②2.2.2.0/24网段中的节点不能访问Internet(即不能ping 通R2以后的节点)
实验过程
①配置R1
②配置R2
③测试
至此实验结束,ACL配置过程当中其余值得注意的一些地方总结以下:
访问控制列表的顺序决定被检验的顺序,特殊规则放在最前面(如针对某个主机) 每一个列表至少有一个容许语句 每一个接口,每一个协议,每一个方向上只能绑定一个ACL列表