標簽:訪問控制列表 標準acl 擴展acl 命名acl 原理和配置
理論部分
標準訪問控制列表的配置:
R1(config)#access-list access-list-number {permit丨deny} source {source wildcard}
access-list-number:訪問控制列表表號
permit丨deny:滿足測試條件���,則拒絕/允許通過流量
Source:數(shù)據(jù)包的源地址����,可以是主機地址或網(wǎng)絡(luò)地址
{source wildcard}:通配符掩碼����,也叫做反碼。在用二進制數(shù)0和1表示時���,如果為1表明這一位不需要匹配���,如果為0表明這一位需要嚴格匹配
擴展訪問控制列表的配置:
創(chuàng)建ACL命令語法如下:
R1(config)#access-list access-list-number {permit丨deny}protocol {source source-wildcard destination destination-wildcard}{operator operan}對命令參數(shù)的詳細說明如下:
access-list-number:訪問控制列表的表號�,對于擴展ACL是100~199
{permit丨deny}:當滿足條件�,則允許或拒絕該流量通過
Protocol:用來指定協(xié)議類型,如IP���、TCP、UDP����、ICMP等
source source-wildcard:源地址和源反碼
destination destination-wildcard:目的地址和目的反碼
{operator operan}:ls(小于)���、gt(大于)�����、eq(等于)或neq(不等于)一個端口號
命名訪問控制列表的配置:
創(chuàng)建ACL的語法命令如下:
R1(config)#ip access-list {standard丨extended}access-list-name
其中access-list-name是ACL的名字����,應(yīng)具有實際意義
{standard丨extended}選擇標準ACL或可擴展的ACL
分析在哪個接口應(yīng)用標準ACL
路由器對入站接口是先檢查訪問控制列表�,對允許的數(shù)據(jù)包才檢查路由表��。而對于外出的數(shù)據(jù)包先查詢路由表���,確定目標端口后才查看出站的訪問控制列表。所以應(yīng)該盡量應(yīng)用在入站接口�����,因為效率更高
靠控制方最近的方向是in方向,離受限制方最近的端口
如果作為服務(wù)器要限制某個IP訪問時應(yīng)該應(yīng)用在out方向
標準ACL����、擴展ACL和命名ACL綜合試驗案例
首先搭建拓撲結(jié)構(gòu),規(guī)劃IP地址����,連接拓撲線路PC機全部使用的是添加網(wǎng)卡
使用軟件GNS3下載地址:http://down.51cto.com/data/991235
先配置簡單的最后配置復(fù)雜的,下面是路由交換的詳細配置
R1上面的配置
Loopback接口地址123.0.1.1/24 模擬外網(wǎng)地址
下面是標準ACL語句配置���,實現(xiàn)網(wǎng)絡(luò)192.168.2.0網(wǎng)段允許通過telnet登錄����。并配置本地登錄的屬性�。然后應(yīng)用ACL到VTY遠程登錄配置�����。還有進入特權(quán)模式的密碼。
W3上面的配置
首先配置一個管理IP地址�,并創(chuàng)建一個VTP域用于共享vlan信息。
創(chuàng)建標準ACL語句��,表示允許192.168.2.0網(wǎng)段telnet遠程
SW2上面的配置
配置接口trunk模式��、封裝類型并創(chuàng)建一個VTP域
把端口加入到相應(yīng)的vlan����,配置管理IP地址和默認網(wǎng)關(guān)��,這樣在不是直連的PC機(也就是網(wǎng)關(guān)機)上面就可以遠程登錄進行管理了
SW1上面的配置
首先配置trunk模式�����,選擇封裝類型����。配置各個vlan的管理IP地址。
創(chuàng)建VTP域���,配置為服務(wù)模式�。
上面創(chuàng)建了一條標準的ACL語句用于遠程telnet管理交換機
下面創(chuàng)建的是為服務(wù)器C4創(chuàng)建的訪問和限制的各種信息。并應(yīng)用在了路由器的out接口上����。
為C3機創(chuàng)建擴展ACL語句,并應(yīng)用在VLAN3的in接口上
為C2機創(chuàng)建擴展ACL語句��,并應(yīng)用在vlan4的in接口上
最后在進行集體查看ACL語句
結(jié)果驗證:由于本次實驗沒有用宿主機和虛擬機�����。
后面又做了一個實驗�。真機實驗結(jié)果請看:
配置ACL語句使用宿主機訪問虛擬機
本文出自 “朕的天下” 博客,請務(wù)必保留此出處http://zhang2015.blog.51cto.com/9735109/1617339
標準ACL、擴展ACL和命名ACL的理論和配置實例
