ACL配置

1.为什么要使用ACL

随着网络的增长,要求对IP流量进行管理

通过在路由器中设置包过滤来管理IP流量.提高内部网的安全性

2.什么是ACL

ACL是一个授权和拒绝条件的序列表,不能过滤本地路由器的流量

3.ACL的用途

用于各个LAN间接口,过滤LAN流量,用于VTY,过滤Telnet

4.ACL分类

标准ACL(standard):检查数据包的源地址

扩展ACL(extended):检查数据包源地址、目的地址、特定的协议、端口号码以及其他参数。使用更灵活。

5.ACL配置

5.1配置ACL要点

(1).访问列表要指明过滤什么协议

(2).按照顺序匹配访问列表

(3).一般限制性的访问列表应该放在前面

(4).在访问列表的最后稳定性定义了deny any(拒绝所有访问),所以每个范文列表应该至少包含一条permit声明,后使用

(5).访问列表过滤通过路由器的流量,但不会应用于源自路由的流量。

5.2 配置ACL的步骤

(1) 创建ACL

access-list access-list-number{permit(允许)|deny(不允许)}{testcondition}

(2)将ACL绑定到接口

{protocol} access-group access-list-number{in(入栈ACL)|out(出栈ACL)}

5.3反转掩码

(1)反转掩码的作用:

使用IP地址与翻转掩码地址对来定义测试条件

简化测试过程,避免额外的输入

(2)翻转掩码的格式

与子网掩码类似,翻转掩码是由0、1二进制组成的32位数字,分成4段:如下图:

ACL 配置_网络 ACL

(3)翻转掩码的配置规则:1意味着忽略 0意味着检查

Any和Host

Host: 172.10.16.11 0.0.0.0=host172.10.16.11

Any:0.0.0.0 255.255.255.255=any

5.4标准ACL的创建

(1)创建标准ACL

access-list access-list-number{permit|deny}source[mask]

为访问列表条目设置参数:

A.IP标准访问列表使用:1-99

B. 缺省wildcard mask=0.0.0.0

C.“no access-list access-list-number”命令删除访问列表条目

(2)绑定ACL到指定的接口

ip access-group access-list-number{in|out}

在接口配置模式激活访问列表:

A.设置inbound或outbound匹配

B.缺省是outbound

C.“no ipaccess-group access-list-number”命令从接口取消激活访问列表

5.5扩展ACL的配置

(1)扩展ACL和标准ACL的比较

ACL 配置_网络 ACL_02

(2)扩展ACL的创建

access-list access-list-number{permit|deny}protocol sourcesource-wildcard[operator port]destination destination-wildcard operatorport][established][log]

access-list 号码permit|deny 协议 源 源反转码 源端口 目的 目的反转码 端口

access-list-number:100-199

permit|deny:指明允许还是拒绝

protocol:允许指定协议(IP,TCP,UDP,ICMP,IGRP)

source和destination:指明源和目的地址

operator port:lt,gt,eq,neq(小于,大于,等于,不等于)端口号

established(既定的):只用于inbound TCP,允许TCP建立连接(列如,ACK被置位)

(3)扩展ACL的绑定

ip access-group access-list-number{in|out}

5.6标识ACL的配置

(1)标识ACL

使用字符串代替数字,来标识ACL

优点:

a.用有含义的字符串直观标识一个ACL

b.需要的配置超出了99个标准ACL或者100个扩展ACL时,可以采用命名ACL

c.当修改ACL中的某一条语句时,可以在不删除整个ACL的情况下修改它

注意:

a.命名ACL与Cisco IOS11.2之前的版本不兼容

b.命名ACL也不包含标准和扩展ACL

c.不能为多个ACL使用相同的名字.不同类型的ACL也不能使用相同的名字

(2)标识ACL的创建

ip access-list{standard|exteded}name{permit|deny}{ip access listtest conditions}

(3)标识ACL的绑定

ip access-group name{in|out}