标准ACL,扩展ACL

ACL概述

名为访问控制列表,对数据包进行过滤,工作在三层,在接口上启用。
ACL类型有三大类,基于编号ACL,基于名称ACL,基于时间ACL,这里只讲常用的编号ACL

  1. 基于编号ACL
  • 标准ACL——使用编号1-99和1300-1999功能简单。只对源IP进行过滤。
    用法如下
    access-list ACL编号 {permit或者deny} 来源IP 通配符屏蔽码
    (通配符屏蔽码,也叫子网掩码反掩码,不懂就跟子网掩码反着写就对了)
  • 扩展ACL——使用编号100-199和2000-2699。功能强大,能够应用到各种环境,可对协议类型,源IP,目的IP,端口号进行过滤
    用法如下
    access-list ACL编号 {permit或者deny} 协议类型 来源IP 通配符屏蔽码 目的IP 通配符屏蔽码 【选填功能】
    以上标准或扩展ACL写完后,在接口上启用如下
    ip access-group ACL编号 in或者out

ACL执行规则

查看下图标准ACL表(show access-lists)

  1. 表中有写两条ACL语句,序号为10和20,在写入规则时,系统默认加10写入,方便以后在中间插入规则。

  2. 程序查看ACL表时从上往下执行。当经过接口的数据包匹配到ACL语句时将结束查看,根据语句允许转发或者拒绝转发。

  3. 当数据包不符合任何语句时默认丢弃,也就是说在表的最后面默认有一条隐藏ACL语句——拒绝转发所有数据包。

  4. 所以通常在编写完后都加一条允许所有数据包转发(如上图序号20 permit any)以保证其他数据包能够正常转发。

实验部分

实验环境:Cisco Packet Tracer7.0
拓扑结构如下

以下为IP及rip配置,使网络各节点可通,可忽略不看

Router>en  //R1
Router#configure terminal
R1(config)#hostname R1
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface s2/0
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#clock rate 64000
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#network 192.168.1.0
R1(config-router)#network 12.1.1.0Router>en  //R2
Router#configure terminal
Router(config)#hostname R2
R2(config)#interface s2/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface f0/0
R2(config-if)#ip address 192.168.2.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface f1/0
R2(config-if)#ip add 192.168.3.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router rip
R2(config-router)#network 12.1.1.0
R2(config-router)#network 192.168.2.0
R2(config-router)#network 192.168.3.0

配置开始

  • 标准ACL——实验目的:拒绝PC1到PC3的网络
//在R2上配置
//在全局配置下写ACL语句
R2(config)#access-list 1 deny 192.168.1.0 0.0.0.255  //拒绝192.168.1.0网络
R2(config)#access-list 1 permit any    //允许所有
//到接口启用
R2(config)#interface f1/0
R2(config-if)#ip access-group 1 out  //f1/0启用编号为1的ACL列表 out表示数据从接口出去时启用

PC1 ping PC3和PC2

当PC1的ping包到R2时被 匹配到deny 数据包被拒绝,由于在f1/0上启用,PC1与PC2正常通信。

R2(config-if)#no ip access-group 1 out   //在f1/0接口取消启用,让网络重新互通。

扩展ACL——实验目的:拒绝PC1到PC3的ICMP包

R1(config)#access-list 100 deny icmp 192.168.1.0 0.0.0.255 192.168.3.1 0.0.0.255
//拒绝来自R1到目的R3的ICMP包(ping网络时用的就是ICMP协议)
R1(config)#access-list 100 permit icmp any any
//允许所有ICMP包
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in

同理PC1 ping PC3 被拒绝。
注意:这里没有允许其他协议的数据包,其他协议都被拒绝了。

实验结束

拓展:——关于在哪个接口启用问题

实验中,标准ACL在R2的f1/0启用。拓展ACl在R1的f0/0接口启用。
标准ACL只能对来源IP进行过滤,可以看出在拓扑结构中其他接口启用都会导致PC1到PC2的数据包也被一同拒绝。
扩展ACL已经知道数据包目的IP地址,能够精准控制,不会出现误伤。所以扩展ACl只要启动在PC1到PC2的必经之路上就可以。若在R2的f1/0启用还是要经过R1,浪费R1算力,带宽等。
所以
配置标准ACL时应靠近目的IP,避免误伤。
配置扩展ACL时接近源IP,省带宽。

文章为个人整理笔记,如有错误,请评论指出。

标准ACL,扩展ACL相关推荐

  1. 思科标准与扩展ACL配置实验

    一.ACL概述 1.简介 ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表.这些策略告诉路由器接收哪些数据包.拒绝哪些数据包,接 ...

  2. 实训二十三:交换机扩展 ACL 配置

    一.实验目的 1. 了解什么是扩展的 ACL: 2. 了解标准和扩展 ACL 的区别: 3. 了解扩展 ACL 不同的实现方法: 二.应用环境 1.标准 ACL 只能限制源 IP 地址,而扩展 ACL ...

  3. 在拓扑图上做标准ACL和扩展ACL(期末考试)

    全网以互联互通!如有什么疑问去看上一篇文章(拓扑图)! 下面我们来配置 阻止VLAN 4的PC 拒绝访问 我们VLAN2 里的 PC 因为是控制流量 所有我们就用标准的控制列表(列表号1-99 130 ...

  4. CCNA配置试验之六 标准ACL和扩展ACL的配置

    访问控制列表分为标准访问控制列表和扩展访问控制列表:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office: ...

  5. 对路径的访问被拒绝怎么办_学习了解ACL—扩展访问控制列表,就在网工知识角...

    学网络,就在IE-LAB 国内高端网络工程师培养基地 基于ACL过滤telnet和特定的网段信息 什么是访问控制列表(ACL)? 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包 ...

  6. 扩展ACL ---王贝的学习笔记

    IP-ACL(3层ACL,针对的是3层流量) 标准ACL: 只能匹配IP数据包的 源IP地址 扩展ACL: 能够同时匹配IP数据包的(源IP 目标IP) 传输层协议 扩展ACL匹配流量,更加精确:确定 ...

  7. Packet Tracer - 配置扩展 ACL - 场景 1

    Packet Tracer - 配置扩展 ACL - 场景 1 拓扑图 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 R1 G0/0 172.22.34.65 255.255.255.224 ...

  8. Cisco Packet Tracer思科模拟器中扩展访问控制列表的配置(扩展ACL)

    上篇文章讲解了思科模拟器中标准访问控制列表的配置(标准ACL),本篇文章将详细讲解思科模拟器中扩展访问控制列表的配置(扩展ACL). 标准ACL指的是 ACL1-99 扩展ACL指的是 ACL100- ...

  9. 访问控制列表--扩展ACL、命名的ACL

    2.1 实验目的 (1)理解扩展ACL和标准ACL的区别 (2)掌握扩展ACL的配置和应用 (3)熟悉扩展ACL的调试 2.2 实验原理 1.扩展ACL配置命令 为了更加精确地控制流量过滤,我们可以使 ...

最新文章

  1. jbpm 6 vs activities 5评估(持续更新、亲测实际项目评估)
  2. 【spring-boot】restfull api 返回值中,去掉 null 值
  3. 牛客 - Sumo and Easy Sum(推公式+数学)
  4. Java笔记08-Map详解
  5. Problem A: 判断操作是否合法(栈和队列)
  6. 人脸检测与识别的趋势和分析
  7. 还不会动效?优秀的可临摹素材,给你做个示范
  8. php redis decr_Redis在PHP项目中的实际应用场景
  9. python 区块链_Python 模拟简单区块链
  10. 【渝粤教育】国家开放大学2018年春季 0176-21T电机学(一) 参考试题
  11. qqkey获取原理_qqkey获取器下载
  12. windows下使用vs工具查看dll是64位还是32位
  13. win10关闭windows聚焦_win10 系统中的windows聚焦是什么意思 - 卡饭网
  14. 黑盒测试与白盒测试的区别
  15. IOS越狱和Android Root检测
  16. 手机上实现划词朗读功能
  17. 互联网/移动互联网小团队创业
  18. JS+CSS实现漂亮的日历特效(仿win10系统日历)
  19. 油价小程序开发 - 手把手教你写小程序(适合初学者)
  20. JavaScript中数组的几种写法

热门文章

  1. DehazeNet: An End-to-End System for Single ImageHaze Removal(图像去雾2016)
  2. 详细揭秘微信小程序框架技术——Mpx
  3. 微信小程序云开发定时推送订阅消息
  4. html之菜单栏设置
  5. 计算机网络安全漫画图片,安全教育漫画图片
  6. 02 固定效应模型与Stata实现
  7. pt-archive使用
  8. Android界面开发
  9. 【Go语言实战】13. Go语言context标准库(下)
  10. 如何操作 Office Open XML 格式文档(转)