共计 3380 个字符,预计需要花费 9 分钟才能阅读完成。
丸趣 TV 小编给大家分享一下标准 ACL 配置的示例分析,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!
访问控制列表(一)结构:
一. 访问控制列表概述:访问控制列表(ACL)
1. 读取第三层、第四层包头信息
2. 根据预先定义好的规则对包进行过滤
二. 访问控制类表的工作原理访问控制列表在接口应用的方向:
出:已经过路由器的处理,正离开路由器接口的数据包
入:已达到路由器接口的数据包,将被路由器处理
列表应用到接口方向与数据方向有关访问控制列表的处理过程:
ACL 规则:匹配为自上而下逐条匹配,默认隐含的拒绝是拒绝所有(any)白名单:
允许 1.2
允许 1.3
拒绝所有(不写)
黑名单:
拒绝 1.2
拒绝 1.3
允许所有(必须写)
三.ACL 访问控制列表的类型:标准访问控制列表:
1. 基于 IP 地址过滤数据包
2. 标准访问控制列表的访问控制列表号是 1~99
扩展访问控制列表:
1. 基于源 IP、目标 IP 地址、指定协议、端口和标志来过滤数据包
2. 扩展访问控制列表的访问控制列表号是 100~199
命名访问控制列表(包含标准和扩展):
1. 命名访问控制列表允许在标准和扩展访问控制列表中使用名称待敌表号
可灵活调整策略
四. 标准访问控制列表的配置创建 ACL:
Router(config)#access-list accsee-list-number
{ permit 允许数据包通过 | deny 拒绝数据包通过 } source [ source-wildcard ] 可对源 IP 进行控制 删除 ACL:
Router(config)#no access-list access-list-number应用实例:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
允许 192.168.1.0/24 和主机 192.168.2.2 的流量通过 隐含的拒绝语句:
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255关键字:
host/any
Demo1:标准 ACL 的配置实例
交换机:sw#conf t
sw(config)#no ip routing
sw(config)#int f1/0
sw(config-if)#speed 100
sw(config-if)#dup full 路由器:R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f0/1
R1(config-if)#ip add 192.168.20.1 255.255.255.0
R1(config-if)#no shut 客户机配置 IP 地址:PC1 ip 192.168.10.2 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1
PC2 ip 192.168.10.3 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.3 255.255.255.0 gateway 192.168.10.1
PC3
PC3 ip 192.168.20.2 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1 验证互通:PC1 ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
84 bytes from 192.168.20.2 icmp_seq=2 ttl=63 time=15.676 ms
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.680 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=21.956 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=12.700 ms
PC2 ping 192.168.20.2
192.168.20.2 icmp_seq=1 timeout
192.168.20.2 icmp_seq=2 timeout
84 bytes from 192.168.20.2 icmp_seq=3 ttl=63 time=17.735 ms
84 bytes from 192.168.20.2 icmp_seq=4 ttl=63 time=14.069 ms
84 bytes from 192.168.20.2 icmp_seq=5 ttl=63 time=14.960 ms
// 此时全网段互通 全局模式下在 R1 上定义规则
R1(config-if)#access-list 1 deny host 192.168.10.2
R1(config)#do show access-list
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 inPC1pingPC3 显示管理员拒绝:
PC1 ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=20.233 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=4.913 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=12.927 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=12.965 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=13.958 ms (ICMP type:3, code:13, Communication administratively prohibited)PC1pingPC2 可以连通:
PC1 ping 192.168.10.3
84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.975 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.997 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=1.731 ms以上是“标准 ACL 配置的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道!
![Frank#smith[Kfyzeiuqujbpygze,2,5]](https://cravatar.cn/avatar/ebd2642d86a4b40100d29dc76ec89b0d?s=96&d=monsterid&r=r)
