ACL访问控制列表
ACL是一张表,每张ACL可包含多个条目 每个条目需要做permit/deny动作
作用:
1.控制数据流量
2.抓取感兴趣流量
分类:
1.标准ACL:检查数据源IP地址
2.扩展ACL:检查数据协议、源目IP地址(上层协议)
写法:
1.编号 1-99为标准ACL 100-199为扩展ACL
匹配规则
从上到下依次匹配,一旦匹配不再向下查询,末尾隐藏拒绝所有
当列表中的所有条目都为允许时,最后一条隐藏为拒绝所有人
当列表中的所有条目都为拒绝时,最后一条必须为允许其他人
方向: in/out
示例:
1.标准ACL
首先PC0要访问PC1,router0-2起EIGRP,全网路由可达
PC0为源,PC1为目标
标准ACL在靠近目标的位置,也就是在Router2上面配置
Router2
**抓取流量**
R3(config)#access-list 1 deny 172.16.1.2 0.0.0.0 (通配符)
R3(config)#access-list 1 permit any
**调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group 1 out
此时pc0无法访问pc1
2.标准命名ACL
命名的ACL可以放小号
Router2
**命名写法**
R3(config)#ip access-list standard ccna
R3(config-std-nacl)#deny 172.16.1.0 0.0.0.255
R3(config-std-nacl)#permit any
**接口调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group ccna out
查看ACL匹配情况
show access-lists
放小号
**命名写法**
R3(config)#ip access-list standard ccna
R3(config-std-nacl)#10 deny 172.16.1.0 0.0.0.255
R3(config-std-nacl)#permit any
**放小号**
R3(config-std-nacl)#5 permit 172.16.1.2 0.0.0.0
&&(R3(config-std-nacl)#5 permit host 172.16.1.2) HOST代表主机,HOST不用写通配符
**调用**
R3(config)#interface f0/1
R3(config-if)#ip access-group ccna out
3.扩展ACL(100-199)
在靠近源的位置配置
Router0
**扩展ACL**
R1(config)#access-list 100 deny ip host 172.16.1.2(源) host 192.168.1.2(目标)
&&R1(config)#access-list 100 deny ip 172.16.1.2 0.0.0.0 192.168.1.2 0.0.0.0
R1(config)#access-list 100 permit ip any(源) any(目标)
**调用**
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in
4.扩展命名ACL
**扩展命名写法**
R1(config)#ip access-list extended ccnp
R1(config-ext-nacl)#10 deny ip host 172.16.1.2 host 192.168.1.2
R1(config-ext-nacl)#permit ip any any
**调用**
R1(config)#interface f0/0
R1(config-if)#ip access-group ccnp in