ACL:access control list - 访问控制列表
-作用:
控制数据的访问、互通;
-实现:
1、定义规则
1、房租逾期、扣除一个月押金;
2、定义动作
permit
deny
-分类:
标准ACL:仅仅关注的源IP地址;
扩展ACL:关注源IP地址和目标IP地址,
还可以关注IP头部后面的内容;
-表示:
id - 即通过不同的数字,表示不同的 ACL ;
名字 - 便于人们对 ACL 的配置与管理;
-配置:
1、创建ACL
access-list {ID} permit|deny x.x.x.x wildcard-bits
ID范围:1-99 ,表示标准ACL
ID范围: 100-199,表示扩展ACL
x.x.x.x : 表示的是一个IP网络范围或者一个IP地址
wildcard-bits:通配符
#0和1是允许交叉出现的;
#通配符中的0,表示的是匹配的位;
#通配符中的1,表示的是不匹配的位;
例子:
access-list 1 permit 192.168.1.0 0.0.0.255
1、首先分析ACL的类型;
2、其次分析ACL的匹配条件
-首先分析“通配符”,
关注通配符中0所对应的IP地址中的位
-提取源IP地址中,与通配符0所对应的位,
-将提取出的位,与ACL中的条件进行比对;
如果相同,则表示匹配成功,执行“动作”
如果不同,则表示匹配失败,继续查找下一条目/匹配条件
3、最后确认“处理动作”
-permit , 允许
-deny , 拒绝
2、调用ACL
#确定在正确的设备上、
#在正确的端口上、
#在正确的方向上;
interface fas0/0
ip access-group 1 in
3、验证与测试
PC-1
ping 192.168.1.254 --> not OK 注意:
任何一个ACL后面,都有一个隐含的 deny any ;
当 一个 ACL 中有多个条目时,对每个条件匹配时,
是按照序列号从小到大依次进行检查、培训的;
标准ACL:应该调用在距离目标近的位置;
扩展ACL:应该调用在距离源近的位置;
工作中常用的ACL配置方式 - 命名的 ACL :
创建ACL-
GW(config)# ip access-list standard Deny-Ping
GW(config-std-nacl)# 10 deny 192.168.1.2 0.0.0.0
GW(config-std-nacl)# 20 permit any
GW(config-std-nacl)#exit
调用ACL-
GW(config)#interface fas0/0
GW(config-if)#ip access-group Deny-Ping in
为了匹配更加精确的流量,我们使用“扩展ACL”:
创建ACL-
ip access-list extended notPing
10 deny icmp host 192.168.1.2 host 192.168.1.254
20 permit ip any any
调用ACL-
interface fas0/0
ip access-group notPing in
验证——
ping
show ip access-list
show ip interface fas0/0
本文转自sweak_h 51CTO博客,原文链接:http://blog.51cto.com/13478354/2044356,如需转载请自行联系原作者
