ACL:access(访问)control(控制)list(列表),用来实现防火墙规则。
访问控制列表的原理
对路由器接口来说有两个方向
出:已经经路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理。
匹配顺序为:“自上而下,依次匹配”。默认为拒绝
访问控制列表的类型
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
一.标准呢访问控制列表
通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1到99来创建相应的ACL。
具体格式为:access-list-number [permit | deny ] [sourceaddress][wildcard-mask]
access-list-number 为1-99 或者 1300-1999之间的数字
下面为配置标准ACL拓扑
实验要求 PC1无法与PC2通信
具体配置如下:
R3(config)#access-list 1 deny 1.1.1.1 #拒绝1.1.1.1
R3(config)#access-list 1 permit any #允许所有
R3(config)#int fa0/1
R3(config-if)#ip access-group 1 out #应用到端口
二.扩展访问控制列表
扩展的IP访问列表检查数据包的源和目的地址,检查源和目的的端口号、检查协议类型(IP、TCP、UDP、ICMP或协议号)。
access-list-number 为100~199 、2000~2699之间的数字。
具体格式为:access-list number [permit | deny ] protocol +源地址+反码 +目标地址+反码+operator operan(It小于,gt大于,eq等于,neq不等于.具体可?)+端口号
下面为配置扩展ACL拓扑
要求PC2不能访问www.china.com 但是能够ping通,其他都正常
具体配置如下:
R3(config)#access-list 100 deny tcp 2.2.2.2 0.0.0.255 4.4.4.4 0.0.0.255 eq www #禁止2.2.2.2 访问4.4.4.4的80 端口
R3(config)#access-list 100 permit ip any any #允许所有
R3(config)#int f0/1
R3(config-if)#ip access-group 100 in #应用到端口