当前位置: 首页 > 网络技术 > 正文

CCNA认证学习笔记18-ACL

acl是什么就不多解释了,ACL(Access Control List 访问控制列表),主要用于安全性设置
先检测是否可路由(并非发往本路由的数据报文或者是不可路由的协议)->检测ACL->检测路由表

标准ACL 只能允许和拒绝IP地址和IP段,不能设定协议或者是源IP或者是目的IP,但是支持通配符掩码

1~99是标准ACL编号

100~199是拓展ACL编号

ACL理论比较少。下面是结合拓扑的一下实际配置:
拓扑如下:
ACL拓扑

  • 配置标准ACL->禁止R1访问R3:
R2(config)#access-list 13 deny 12.1.1.1 0.0.0.0     //0表示精确匹配,1表示任意匹配
R2(config)#int fa 0/0
R2(config-if)#ip access-group 13 in
  • 配置标准命名ACL :->禁止R1访问R3:
R2(config)#ip access-list standard deny-R1-to-R3
R2(config-std-nacl)#deny host 12.1.1.1  //host 就等同于反掩码为0.0.0.0
R2(config)#int fa 0/0
R2(config-if)#ip access-group deny-R1-to-R3 in
  • 配置拓展ACL:->禁止R1 ping R3 ,但是R3可以ping 通R1
R2(config)#access-list 103 deny icmp host 12.1.1.1 host 23.1.1.3 echo  //拓展ACL也可以使用通配符掩码
R2(config)#access-list 103 permit ip any any  //允许所有,因为ACL隐含为拒绝所有
R2(config)#int fa 0/0
R2(config-if)#ip access-group 103 in
  • 拓展acl ->禁止R1 telnet到R3
R2(config)#access-list 104 deny tcp host 12.1.1.1 host 23.1.1.3 eq 23
R2(config)#access-list 104 permit tcp any any
R2(config)#int fa 0/0
R2(config-if)#ip access-group 104 in
  • 配置拓展命名acl :禁止R1 telnet 到R3
R2(config)#ip access-list extend deny-telnet
R2(config-ext-nacl)#deny tcp host 12.1.1.1 host 23.1.1.3 eq 23
R2(config-ext-nacl)#permit tcp any any
R2(config-if)#ip access-group deny-telnet  in
  • acl中established:R1不能telnet 到R3,但是R1可以ping通R3
R2(config)#access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 established
R2(config)#access-list 100 permit tcp any any
R2(config)#access-list 100 permit ip any any
R2(config)#int fa 0/0
R2(config-if)#ip access-group 100 in
  • 配置反射ACL做到真正的单向访问 R1可以telnet或者是ping R3,但是R3不能telnet或者是pingR1
R2(config)#ip access-list extend out-acl
R2(config-ext-nacl)#permit ip any any re
R2(config-ext-nacl)#permit ip any any reflect out-ip
R2(config-ext-nacl)#exit
R2(config)#ip access-list extend in-acl
R2(config-ext-nacl)#evaluate out-ip
R2(config)#int fa 0/1
R2(config-if)#ip access-group out-acl out
R2(config-if)#ip access-group in-acl in
  • 配置动态ACL
R2(config)#access-list 100 permit tcp any host 12.1.1.2 eq 23  //只允许telnet到12.1.1.2
R2(config)#access-list 100 permit tcp any host 12.1.1.2 eq 3001  //作用是方便远程管理R2,因为telnet到R2成功后会自动断开
R2(config)#access-list 100 dynamic cisco timeout 120 permit ip any any   //配置了一个名称为cisco,超时为120s的动态acl
R2(config)#username R2 password cisco
R2(config)#line vty 0 3
R2(config-line)#login local
R2(config-line)#auto
R2(config-line)#autocommand access-enable host timeout 5
R2(config)#line vty 4
R2(config-line)#login local
R2(config-line)#rotary 1
R2(config)#int fa 0/0
R2(config-if)#ip access-group 100 in
  • 配置基于时间的ACL
R2(config)#time-range work   //创建了一个名称为work的时间范围
Time range configuration commands:
  absolute  absolute time and date
  default   Set a command to its defaults
  exit      Exit from time-range configuration mode
  no        Negate a command or set its defaults
  periodic  periodic time and date
R2(config-time-range)#periodic ?
  Friday     Friday
  Monday     Monday
  Saturday   Saturday
  Sunday     Sunday
  Thursday   Thursday
  Tuesday    Tuesday
  Wednesday  Wednesday
  daily      Every day of the week
  weekdays   Monday thru Friday
  weekend    Saturday and Sunday
R2(config-time-range)#periodic weekdays  08:00 to 20:00
R2(config)#access-list 110 permit tcp any any eq 110
R2(config)#access-list 110 deny ip any any time-range work     //当时间范围满足work时,拒绝所有的除了POP3外的通信
R2(config)#access-list 110 permit ip any any   //允许所有的IP通信


本文固定链接: http://kuaile.in/archives/647 | 蒲公英的博客

该日志由 蒲公英 于2012年03月18日发表在 网络技术 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: CCNA认证学习笔记18-ACL | 蒲公英的博客
关键字:

CCNA认证学习笔记18-ACL:等您坐沙发呢!

发表评论


You must enable javascript to see captcha here!

快捷键:Ctrl+Enter