应用
1.优先级判断
2.按需拨号
3.路由表过滤
类型
1.标准访问列表
只检查分组的源地址信息(从哪来的)
允许活拒绝整个协议栈
2.扩展访问列表
同时检查员和目的地址信息
可针对三层四层信息进行控制,常用
标准 1-99, 延伸的标准列表1300-1999
扩展 100-199, 延伸的扩展列表2000-2999
自主命名
1-99, 1300-1999 只针对源地址信息来决定是否过滤
100-199, 2000-2999 根据源和目的IP,端口,协议类型 综合决定
过滤流程:
从第一条开始判断是否匹配
如果没有任何一条匹配,仍然deny
配置
全局模式下创建ACL
除非必要,不使用延伸的列表,尽量使用1-99 100-199
每个接口,每个协议,每个方向只能有一个访问列表
把最严格的条目卸载最上面
ACL默认deny all
ACL映射到接口之前,要先做好ACL,否则就全部拒绝
不要配置针对路由器本身流量的ACL,只针对穿越路由器或者到达路由器的流量做ACL
命令
标准
access-list 1 permit 172.16.0.0 0.0.255.255
interface fastethernet 0/0
ip access-group 1 out
interface fastethernet 0/1
ip access-group 1 out
拒绝通过
access-list 1 deny 172.16.4.13 0.0.0.0 (可替换成host 172.16.4.13)(换成网络号,就可以拒绝特定子网)
access-list 1 permit 0.0.0.0 255.255.255.255(可换成any)
映射到想拒绝的端口
扩展
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 编号 deny/permit 源地址 目的地址 eq 端口号
映射到接口
拒绝来自某个源的通信
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
Name(命令)
ip access-list standard/extended 名字
permit/deny 和之前的语法相同
映射到端口
接口模式下
ip acccess-group name in/out
对本地流量进行控制
vty
access-list 12 permit 172.16.1.0 0.0.0.255
ling vty 0 4
access-class 12 in
只允许172.16.1.0的主机连接路由器的vty通道
检查访问列表
sh access-list 编号
sh 协议 access-list 编号
扫一扫
1785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
