ACL :本质上就是控制交换机的某个端口 对于 符合要求的 IP (扩展可以使用端口) 的放行或封锁
思科交换机的 ACL 分为 标准 和 扩展 两种版本
标准版的命令方式:access-list number permint/deny 条件(一般是 ip 通配符)
通配符的 作用是指定检查哪些位,如果是 0 则检查,1的话不检查
并且用
interface xxx
ip access-group number in/out 控制在端口上的出入
比如
access-list 1 deny 172.16.0.0 0.0.255.255
interface ethernet 0
ip access-group 1 in
这就会限制 172.16. 开头的ip 不能通过 接口 0 发送进路由器,因为 这种 172.16.xx.xx 的 IP 和 0.0.255.255 相与 之后 会等于 172.16.0.0,满足条件 被拦截
拓展版本
access-list number permit/deny 协议 源地址 源地址通配符 (lt,gt,eq,neq)大于/等于/小于 端口 目的地址 目的地址通配符 大于/等于/小于 端口
是否允许三次握手 是否记录日志
比如:
access-list 101 deny tcp 172.168.0.0 0.0.255.255 172.167.0.0 0.0.255.255 eq 80
不允许 172.168 网段上的主机 访问 172.167 网段上的主机 的 80 端口