ACL访问控制列表(详细配置教程)
文章目录
- 什么是ACL
- ACL分类
- 匹配规则
- 工作原理
- ACL配置指南
- 配置实例
- 配置ACL列表(拓展ACL)
- 标准访问列表
- 删除ACL列表
什么是ACL
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL分类
1~99 和 1300~1999:标准IP ACL。(基于源P地址过滤)
100~199 和 2000~2699:扩展IP ACL。
(基于源、目的IP地址;源、目的TCP/UDP端口;协议类型)
AppleTalk: 600~699
IPX:800~899
匹配规则
基于每种协议设置一个ACL(per protocol)
基于每个方向设置一个ACL(per direction)
基于每个接口设置一个ACL(per interface)
工作原理
入站ACL:对到来的分组进行处理后在路由到主站接口。效率高。
出站ACL:将分组路由到出站接口,然后根据ACL对其进行处理。
ACL要么应用于入站数据流要么应用于出站数据流。
ACL顺序︰
从上到下、每次一条语句。
ACL配置指南
1.访问列表的编号指明了使用何种协议的访问列表
2.每个端口、每个方向、每条协议只能对应于一条访问列表
3.访问列表的内容决定了数据的控制顺序
4.具有严格限制条件的语句应放在访问列表所有语句的最上面
5.在访问列表的最后有一条隐含声明:deny any -
每一条正确的访问列表都至少应该有一条允许语句
6.先创建访问列表,然后应用到端口上
7.访问列表不能过滤由路由器自己产生的数据
配置实例
要求只允许PC1可以到达1.1.1.1其他不可以
配置如下
R1# conf t
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int loopb 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#ex
R1(config)#exi
R1#PC1
ip 192.168.1.10 24 192.168.1.1 24PC2
ip 192.168.1.20 24 192.168.1.1 24PC3
ip 192.168.1.30 24 192.168.1.1 24
验证一下
配置ACL列表(拓展ACL)
R1#conf t
R1(config)#access-list 100 per
R1(config)#access-list 100 permit icmp host 192.168.1.10 host 1.1.1.1 echo
R1(config) #access-list 100 deny icmp any host 1.1.1.1 echo
R1(config)#
解释
查看一下
因为使用ping嘛,所以用的是ICMP协议,具体操作可以使用 ‘?’ 查看
看到ICMP 后面可以跟源地址,可以跟any,也可以跟主机,我们是为了PC1可以通过选择host,而且源地址选择一般是用于一个网段,any就是任何都可以
所以上述ACL配置选择拓展ACL,匹配由上到下
然后应用到端口
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#
写完之后我们验证一下
可以看到PC2被管理进制通讯交流
此时我们ping 一下网关看看是否可以交流
发现PC1与PC2均无法ping通网关
查看一下列表
show access-lists 100
为什么ping不通网关
因为ACL列表包含一个隐藏语句就是 deny any any
列表执行最后拒绝所有流量,所以之前列表没有192.168.1.1的匹配自然就被过滤掉
我们需要这样配置
access-list 100 permit ip any any
就可以了
标准访问列表
删除ACL列表
这是列表内容 假如对一条不满意怎么删除?
如下图所示,并没有删除语句,要删除就只能把整张表删掉
显然不合理,于是就有更高层次用法
ip access-list
我们是拓展ACL
加入表号进入配置查看ACL列表可以根据需要,根据序号进行删除
当然添加也可以指定添加,可以指定序号,其顺序是按照序号大小进行升序排列
这样执行的列表顺序就可以改变了
ACL访问控制列表(详细配置教程)相关推荐
- 思科ACL访问控制列表常规配置
一.ACL概述 ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表.这些指令告诉路由器接收哪些数据包.拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如 ...
- ensp ACL访问控制列表配置
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用 ...
- Cisco Packet Tracer思科模拟器中扩展访问控制列表的配置(扩展ACL)
上篇文章讲解了思科模拟器中标准访问控制列表的配置(标准ACL),本篇文章将详细讲解思科模拟器中扩展访问控制列表的配置(扩展ACL). 标准ACL指的是 ACL1-99 扩展ACL指的是 ACL100- ...
- ACL访问控制列表(访问控制、抓取感兴趣流)详解及基本ACL和高级ACL的配置。
ACL --- 访问控制列表 1. 访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作.(pemit 允许,deny 拒绝) 2. 抓取感兴趣流:ACL的另一个作用就是和其他服务 ...
- ensp配置ACL访问控制列表
简介:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地 ...
- ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
目录 ACL的组成: 创建ACL访问控制列表的两种的方式: 1.数字命名: 2.字符串命名方式: ACL创建步骤: 1.先创建ACL列表: 进入acl列表: 2.配置ACL的一条条规则: 3.进入需要 ...
- ACL访问控制列表【笔记|实验】
一.访问控制列表概述 1.访问控制列表(ACL):读取第三层.第四层包头信息,根据预先丁含义好的规则对包进行过滤. 2.访问控制列表的处理过程:如果匹配第一条规则,则不再往下检查,路由器将决定该数据包 ...
- ccna第十一课 ACL访问控制列表
ACL访问控制列表,应用于接口控制网络规则及流量.一个接口的一个方向只能应用一个控制列表 标准控制列表(序号1-99)主要是根据源ip地址进行控制 扩展控制列表(序号100-199)基于源和目的地址. ...
- 三层交换技术 ACL访问控制列表
华为模拟器 计算机网络 三层交换技术 ACL访问控制列表 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应 ...
最新文章
- 关于mysql的表名/字段名/字段值是否区分大小写的问题
- 用python读取stata文件及写入and注意事项
- Linux版本之挑选适合服务器的OS发行版
- matlab数组存字符串,MATLAB字符串数组存储为CSV格式
- javascript实现较全功能注册表单
- 免费的开源软件那么“香”,为何他们宁愿花钱去买软件?
- 关于yum使用的小技巧
- Atitit 让maven pom.xml不编译 1.build 2. defaultGoalinstall/defaultGoal 3. directory${bas
- 电话自动拨号在电脑上自动拨打
- 订单系统需求分析说明
- 邮箱总是被垃圾邮件轰炸?来试试这个临时邮箱生成器吧!
- c语言中m的ascii值,M的ASCII码值为多少
- PS教程第六课:魔棒工具进行抠图
- 计算机搜索不到网络打印机怎么处理,搜索不到网络打印机怎么办 搜索不到网络打印机解决方法...
- TSL1401 CCD传感器驱动
- 什么是ColdFusion
- 计算机图标下面有颜色,小编教你电脑桌面图标有蓝色阴影怎么去掉
- JavaScript模拟退火
- 2017京东实习生笔试题(一)
- esp-01s接入天猫精灵与relay继电器控制电灯