ACL控制访问列表原理+实验
1、原理:ACL使用包过滤技术,在路由器上读取ISO七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包头进行过滤。
2、从上到下逐条匹配,一旦匹配则停止匹配,一条不匹配,执行隐含(拒绝)命令。
3、原则上ACL控制访问列表设置在进端口效率更高
4、ACL的类型有三类:
A、标准ACL,根据数据包的源IP地址来允许或拒绝转发数据包,列表号(1-99)
B、扩展ACL,根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来允许或拒绝转发数据包,列表号(100-199)
C、命名ACL,命名ACL允许在标准和扩展ACL中使用名称代替列表号
5、标准ACL的命令语法如下:
Router(config)#access-list access-list-number (permit | deny) source (source-wildcard)
Access-list-number :列表号
Permit :允许 deny:拒绝
Source :数据包的源地址
Source-wildcard :通配符掩码,也称反码
6、扩展ACL的命令语法如下:
Router(config)#access-list access-list-number source (permit | deny)protocol
(source source-wildcard destination destination-wildcard)(operator operan)
Protocol:指定协议类型,如,tcp 、 ip、udp 、icmp 等
destination :目的地址
Operator operan :It (小于)、gt(大于) 、eq(等于)、neq(不等于)一个端口号
7、命名ACL的命令语法如下:
Router(config)#ip access-list (standard | extended) access-list-name
Standard :标准
Extended:扩展
如:192.168.10.2 0.0.0.0 也可以表示成host 192.168.10.2 0.0.0.0 255.255.255.255 也可以用any 表示
只有将ACL应用到接口,ACL访问控制列表才能生效
命令语法如下:router(config-if)#ip access-group access-liat-number (in |out)
命名ACL的作用是更好的管理访问控制列表,可增、可减、可根据Sequence-Number数字大小来调整列表顺序
如果想要用命名ACL,不管是标准ACL还是扩展ACL,第一步是命名ACL操作
8、根据标准ACL,扩展ACL,命名ACL.分别做实验
一、实验拓扑图:
很明显根据要求这是一个标准ACL访问控制列表具体操作如下
实验拓扑图:
很明显这是需要添加扩展ACL访问列表,具体操作如下:
实验拓扑图:
具体操作如下:
原文地址:http://blog.51cto.com/13871456/2167106