ACL(Access Control List,访问控制列表),是一种用于控制网络设备或操作系统中资源的访问权限的机制。
- 面向数据层面的控制
-
面向路由层面的控制
数据层面
根据限制数据的多少、范围的多少分为
- 标准ACL–只针对源IP地址做限制,1-99之间
- 扩展ACL–针对源IP、目的IP、源端口、目的端口、协议号,100-199之间
行为上有两种行为,允许permit,拒绝deny。 网络设备内–代表一个策略、代表一项功能 一条接口只能写一个ACL编号
#R2针对R1(192.168.1.1)标准访问控制
access-list 1 deny host 192.168.1.1
access-list 1 permit any #因为有默认的最后一条,所以要设置这一条放行
access list 1 deny any #(默认隐藏在最后一条的,不显示,自上而下检查)
interface f1/0
ip access-group 1 in
show access-list
U.U.U 代表Unreachable不可达 … 代表请求超时
#R2针对R1(192.168.1.1)扩展访问控制,禁ping
interface f1/0
no ip access-group 1 in #取消1访问控制
no access-list 1
conf t
access-list 100 deny icmp host 192.268.1.1 host 192.168.1.2
access-list 100 permit ip any any
interface f1/0
ip access-group 100 in
##这样是收发ping包都被拒绝
no access-list 100
access-list 100 deny icmp host 192.268.1.1 host 192.168.1.2 echo
access-list 100 permit ip any any
conf t
interface f1/0
ip access-group 100 in ##挂接到接口
##只拒绝R1发到R2的echo包
access-list 100 deny tcp host 192.168.1.1 host 192.168.1.2 eq telnet ##eq=equal,拒绝telnet
access-list 100 deny tcp host 192.168.1.1 host 192.168.1.2 eq 23 ##和上面一样
access-list 100 permit ip any any
conf t
interface f1/0
ip access-group 100 in
如果想添加条目
show access-lists ##查看ACL列表
conf t
ip access-list extended 100 ##进入ACL,如果是标准访问控制,ip access-list standard 1
15 deny icmp host 192.268.1.1 host 192.168.1.2 echo #15是插入子编号,acl列表有子编号10和20之间
no 15 #把15子编号条目去掉
access-list 100 permit tcp host 192.168.1.1 host 192.168.1.2 eq 80 ##允许192.168.1.1访问192.168.1.2的http网页
access-list 100 permit tcp host 192.168.1.1 host 192.168.1.2 eq 443 ##允许192.168.1.1访问192.168.1.2的https网页
access-list 100 permit udp host 192.168.1.1 host 192.168.1.2 eq 53 ##允许192.168.1.1访问192.168.1.2的DNS服务