访问控制列表(ACL)应用、配置

本文详细介绍了访问控制列表(ACL)的基本概念,包括标准和扩展ACL的比较,以及它们的配置步骤。标准ACL基于源地址,而扩展ACL则基于源和目标地址,同时指定协议和端口。文章提供了具体的配置示例,如拒绝特定IP的FTP和TELNET流量,以及命名ACL的创建和应用。此外,还展示了如何将ACL应用到接口并检查其配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

一、标准访问控制列表和扩展访问控制列表比较

1、标准访问控制列表:

基于源地址

允许和拒绝完整的TCP/IP协议

编号范围1---99和1300---1999

2、扩展访问控制列表:

基于源地址和目标地址

指定TCP/IP的特定协议和端口号

编号范围100---199和2000---2699

二、标准访问控制列表配置步骤

1、创建访问控制列表

router(config)#access-list 1 deny 172.16.4.13 0.0.0.0
拒绝来自主机172.16.4.13的数据包。其中的1表示这是一个标准的访问控制列表。
也可用命令 access-list 1 deny host 172.16.4.13

router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
允许网络172.16.0.0的所有流量通过。

router(config)#access-list 1 permit any
允许任何流量通过。

2、应用到接口进方向

router(config)#interface fastethernet 0/0
router(config-if)#ip access-group 1 in
把这个ACL绑定到接口F0/0进的方向上。

3、删除一个访问控制列表

首先在接口模式下输入命令:no ip access-group
然后在全局模式下输入命令:no access-list

三、扩展访问控制列表应用

1、创建拒绝来自172.16.4.0 去往172.16.3.0 的FTP流量ACL
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
router(config)#access-list 101 permit ip any any

2、创建拒绝来自172.16.4.0 去往 172.16.3.0 的TELNET 流量的ACL
router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23
router(config)#access-list 101 permit ip any any

3、创建拒绝主机192.168.1.1 到主机 192.168.1.254 的 icmp
router(config)#access-list 101 deny icmp host 192.168.1.1 host 192.168.1.254
router(config)#access-list 101 permit ip any any

4、应用到接口进的方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-list 101 in

四、命名访问控制列表

1、访问控制列表的命名
router(config)#ip access-list {standard | extended} name

router(config)#{permit | deny}  {source [source-wildcard]|any}  {test conditions}
这里test conditions 的使用可以参考标准和扩展访问控制列表中相应的内容。

2、命名访问控制列表的应用

a.创建名为cisco的访问控制列表
router(config)#ip access-list extended cisco

b.拒绝主机192.168.3.1 去往 192.168.3.254 的远程桌面
router(config-ext-nacl)#deny tcp host 192.168.3.1 host 192.168.3.254 eq 3389
router(config-ext-nacl)#permit ip any any

c.应用到接口进方向
router(config)#interface fastethernet 0/0
router(config-if)#ip access-group cisco in

3、查看ACL列表

router#show ip interface fastethernet 0/0

router#show access-list

router#show running-config

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值