CISCO ACL配置

时间:2021-03-25 23:49:52

ACL:access(访问)control(控制)list(列表),用来实现防火墙规则。

访问控制列表的原理
对路由器接口来说有两个方向
出:已经经路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:“自上而下,依次匹配”。默认为拒绝

访问控制列表的类型
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号

一.标准呢访问控制列表

通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。

具体格式为:access-list-number [permit | deny ] [sourceaddress][wildcard-mask]

access-list-number 为1-99 或者 1300-1999之间的数字

下面为配置标准ACL拓扑

实验要求 PC1无法与PC2通信

CISCO ACL配置

CISCO ACL配置

CISCO ACL配置CISCO ACL配置​具体配置如下:

R3(config)#access-list 1 deny 1.1.1.1   #拒绝1.1.1.1
R3(config)#access-list 1 permit any      #允许所有
R3(config)#int fa0/1                               
R3(config-if)#ip access-group 1 out      #应用到端口

二.扩展访问控制列表

扩展的IP访问列表检查数据包的源和目的地址,检查源和目的的端口号、检查协议类型(IP、TCP、UDP、ICMP或协议号)。

access-list-number 为100~199 、2000~2699之间的数字。

具体格式为:access-list number [permit | deny ] protocol +源地址+反码 +目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于.具体可?)+端口号

下面为配置扩展ACL拓扑

要求PC2不能访问www.china.com 但是能够ping通,其他都正常

CISCO ACL配置CISCO ACL配置

具体配置如下:

R3(config)#access-list 100 deny tcp 2.2.2.2 0.0.0.255 4.4.4.4 0.0.0.255 eq www   #禁止2.2.2.2 访问4.4.4.4的80 端口  
R3(config)#access-list 100 permit ip any any   #允许所有
R3(config)#int f0/1
R3(config-if)#ip access-group 100 in   #应用到端口