访问控制列表有3种,标准访问控制列表,扩展访问控制列表,命名访问控制列表
访问控制列表只对穿越路由器的数据流有过滤效果,不会对始发于当前路由器的数据进行过滤
1)标准访问列表:standard access-list
标准访问列表的序号范围:1~99或1300~1999(扩展范围)
格式:
R1(config)#access-list 10 deny host 172.16.10.0 0.0.0.255 //拒绝来自172.16.10.0网段的数据
R1(config)#access-list 10 permit 0.0.0.0 255.255.255.255 //允许所有数据,此句等价于permit any any
|
R1(config)#int f0/0 R1(config-if)ip access-group 10 out //对流出f0/0的数据加以acl 10来过滤 |
|
R1(config) #line vty 0 4 R1(config-line)#access-class 10 in //将访问控制列表10应用于VTY上 |
R1(config)#access-list 10 remark aabbccdd //给ACL 10 添加注释
一般而言,IP标准访问控制列表放在离目的地尽可能进的地方
2)扩展访问控制列表:extended access-list
范围:100~199或2000~2699(扩展范围)
格式:
R2(config)#access-list 110 deny tcp any host 172.16.50.5 eq 21 //拒绝来源于任何地方到主机172.16.50.5的ftp数据
R2(config)#access-list 110 deny tcp any 172.16.50.5 255.255.255.255 eq 21 //作用等同于上句,只是用的语法格式不一样,172.16.50.5 255.255.255.255 相当于上句的host 172.16.50.5
一般而言,扩展访问控制列表应放在离信源近的地方,但具体情况以实际需求为准
3)命名访问控制列表
格式:
|
R3(config)#ip access-list standard BlockMarket //给列表取个名字,然后再写相关规则,是标准的还是标准格式,是扩展的还是扩展格式 R3(config-std-nacl)#deny 172.16.40.0 0.0.0.255 R3(config-std-nacl)#permit any |
|
R3(config)#ip access-list extended BlockSales R3(config-ext-nacl)#permit tcp host 192.168.177.2 host 172.22.89.26 eq 80 |
R3(config-ext-nacl)#remark Deny all of Sales from Telnetting to Marketing //用remark来给ACL BlockSales添加注释,以增强可读性
R3(config-ext-nacl)#21 deny udp any host 172.16.30.5 eq 69 //利用命名ACL,可以对标准访问列表或扩展访问列表,进行内部的执行次序修改
察看访问列表
show access-list : 显示路由器中配置的所有访问控制列表及其参数,还显示各条语句允许或禁止分组通过的次数,但不会指出应用于哪个接口
show access-list 110 : 只显示访问控制列表110的参数,也不反映那个接口
show ip access-list:只显示路由上配置的IP访问控制列表,IPX等非IP Access-list不会显示
show ip interface: 显示应用于接口的访问列表会
show runing-config:显示访问控制列表以及应用了的接口