標簽:訪問控制列表 標準acl 擴展acl 命名acl 原理和配置
理論部分
標準訪問控制列表的配置:
R1(config)#access-list access-list-number {permit丨deny} source {source wildcard}
access-list-number:訪問控制列表表號
permit丨deny:滿足測試條件��,則拒絕/允許通過流量
Source:數據包的源地址�,可以是主機地址或網絡地址
{source wildcard}:通配符掩碼,也叫做反碼���。在用二進制數0和1表示時���,如果為1表明這一位不需要匹配,如果為0表明這一位需要嚴格匹配
擴展訪問控制列表的配置:
創(chuàng)建ACL命令語法如下:
R1(config)#access-list access-list-number {permit丨deny}protocol {source source-wildcard destination destination-wildcard}{operator operan}對命令參數的詳細說明如下:
access-list-number:訪問控制列表的表號����,對于擴展ACL是100~199
{permit丨deny}:當滿足條件,則允許或拒絕該流量通過
Protocol:用來指定協(xié)議類型�����,如IP�、TCP�����、UDP�����、ICMP等
source source-wildcard:源地址和源反碼
destination destination-wildcard:目的地址和目的反碼
{operator operan}:ls(小于)�����、gt(大于)�、eq(等于)或neq(不等于)一個端口號
命名訪問控制列表的配置:
創(chuàng)建ACL的語法命令如下:
R1(config)#ip access-list {standard丨extended}access-list-name
其中access-list-name是ACL的名字�,應具有實際意義
{standard丨extended}選擇標準ACL或可擴展的ACL
分析在哪個接口應用標準ACL
路由器對入站接口是先檢查訪問控制列表,對允許的數據包才檢查路由表����。而對于外出的數據包先查詢路由表,確定目標端口后才查看出站的訪問控制列表���。所以應該盡量應用在入站接口,因為效率更高
靠控制方最近的方向是in方向�����,離受限制方最近的端口
如果作為服務器要限制某個IP訪問時應該應用在out方向
標準ACL、擴展ACL和命名ACL綜合試驗案例
首先搭建拓撲結構�����,規(guī)劃IP地址�����,連接拓撲線路PC機全部使用的是添加網卡
使用軟件GNS3下載地址:http://down.51cto.com/data/991235
先配置簡單的最后配置復雜的���,下面是路由交換的詳細配置
R1上面的配置
Loopback接口地址123.0.1.1/24 模擬外網地址
下面是標準ACL語句配置����,實現(xiàn)網絡192.168.2.0網段允許通過telnet登錄����。并配置本地登錄的屬性。然后應用ACL到VTY遠程登錄配置�����。還有進入特權模式的密碼���。
W3上面的配置
首先配置一個管理IP地址�,并創(chuàng)建一個VTP域用于共享vlan信息。
創(chuàng)建標準ACL語句���,表示允許192.168.2.0網段telnet遠程
SW2上面的配置
配置接口trunk模式����、封裝類型并創(chuàng)建一個VTP域
把端口加入到相應的vlan�,配置管理IP地址和默認網關,這樣在不是直連的PC機(也就是網關機)上面就可以遠程登錄進行管理了
SW1上面的配置
首先配置trunk模式��,選擇封裝類型���。配置各個vlan的管理IP地址����。
創(chuàng)建VTP域����,配置為服務模式。
上面創(chuàng)建了一條標準的ACL語句用于遠程telnet管理交換機
下面創(chuàng)建的是為服務器C4創(chuàng)建的訪問和限制的各種信息��。并應用在了路由器的out接口上���。
為C3機創(chuàng)建擴展ACL語句���,并應用在VLAN3的in接口上
為C2機創(chuàng)建擴展ACL語句��,并應用在vlan4的in接口上
最后在進行集體查看ACL語句
結果驗證:由于本次實驗沒有用宿主機和虛擬機�。
后面又做了一個實驗�。真機實驗結果請看:
配置ACL語句使用宿主機訪問虛擬機
本文出自 “朕的天下” 博客,請務必保留此出處http://zhang2015.blog.51cto.com/9735109/1617339
標準ACL�����、擴展ACL和命名ACL的理論和配置實例
