ACL(Access Control List)访问控制列表的作用是出于安全考虑的流量控制!它可以改善网络的运行效率。在应用ACL的同时,也要付出数据包延时的代价:进出站(路由器)的流量都要接受路由器检查控制。
允许流量通过的依据是源IP地址、目的IP地址、Mac地址、协议、应用类型。
ACL的类型有:标准ACL(1-99)、扩展ACL(100-199)、命名ACL。
标准ACL:Router(config)#access-list <1-99> {permit/deny/remark} 源 IP地址。
扩展ACL:Router(config)#access-list <100-199> {permit/deny/remark} {服务}{源 IP地址} {通配符}{目的IP地址} {通配符} eq {协议名/端口号}
命名ACL:Router(config)#ip access-list {standard/extended}{name}
应用到路由器某接口:Router(config-if)#ip access-group {number/name}{out/in}。
下面我举一个小型网络的ACL配置实例:
IP参数:
路由器0左端口f0/0:10.10.10.1、路由器0右端口f0/1:11.11.11.1
PC:10.10.10.10、10.10.10.16、11.11.11.11、11.11.11.14、11.11.11.15
服务器:10.10.10.13
安全策略:1.禁止11.11.11.15访问10.10.10.13的ftp
2.禁止10.10.10.16访问11.11.11.0网段
3.10网段只允许10.10.10.15telnet路由器
4.限制PC(11.11.11.10)的流量在本网段
>路由器0的ACL配置<
1.禁止11.11.11.15访问10.10.10.13的ftp
R0(config)#access-list 100 permit any any
R0(config)#access-list 100 deny tcp 11.11.11.15 0.0.0.0 10.10.10.13 0.0.0.0 eq 20
R0(config)#access-list 100 deny tcp 11.11.11.15 0.0.0.0 10.10.10.13 0.0.0.0 eq 21
R0(config)#int f0/0
R0(config-if)#ip access-group 100 out
2.禁止10.10.10.16访问11.11.11.0网段
R0(config)#access-list 1 deny 10.10.10.16
R0(config)#access-list 1 permit any
R0(config)#int f0/1
R0(config-if)#ip access-group 1 out
3.10网段只允许10.10.10.15telnet路由器
R0(config)#access-list 100 permit tcp 11.11.11.15 0.0.0.0 any eq 23
R0(config)#int f0/1
R0(config-if)#ip access-group 100 in
要对路由器进一步配置的话,路由器还需要做一下配置:
R0(config)#enable password {密码}
R0(config)#line vty 0 15
R0(config-line)#password {密码}
R0(config-line)#login
4.限制PC(11.11.11.10)的流量在本网段
R0(config)#access-list 1 deny 10.10.10.10
R0(config)#int f0/0
R0(config-if)#ip access-group 1 in
配置完所有的参数后,记得保存配置,以防突然断电后运行配置丢失:
R0(config)#copy running-config startup-config
