CCNA第六天(ACL访问控制列表)
来源:互联网 发布:富士康java开发笔试题 编辑:程序博客网 时间:2024/05/22 00:49
ACL分类:
标准ACL:
表号1—99
基于源ip地址控制数据包
扩展ACL:
表号100—199
基于源IP地址目的IP地址 端口号 协议类型
ACL的关键字
允许:permit
拒绝:deny
规则
- ACL匹配顺序从上到下。每张ACL有一条默认Deny
- ACL中把具体的条目放在前面。
- 一张ACL中至少有一条Permit语句。
- 标准ACL放在离目的近的地方,扩展ACL放在离源近的地方
- 标准ACL和扩展ACL删除时,不能删除单独一个条目。
- 每一个接口的一个方向只能应用一张ACL。
使用通配符any和host
通配符any可代替0.0.0.0 255.255.255.255
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255Router(config)#access-list 1 permit anyhost表示检查IP地址的所有位
Router(config)#access-list 1 permit 172.30.16.29 0.0.0.0Router(config)#access-list 1 permit host 172.30.16.29ACL分类
- 基本类型的访问控制列表
- 标准访问控制列表
- 扩展访问控制列表
- 其他种类的访问控制列表
- 基于MAC地址的访问控制列表
- 基于时间的访问控制列表
标准访问控制列表
标准访问控制列表的配置
第一步,使用access-list命令创建访问控制列表
Router(config)#access-list access-list-number { permit | deny } source [ source- wildcard ] [log]第二步,使用ip access-group命令把访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }最少要有一条permit语句
访问控制列表实例
第一步,创建访问控制列表
R(config)#access-list 1 permit 172.16.0.0 0.0.255.255R(config)#access-list 1 deny 172.16.4.13 0.0.0.0R(config)#access-list 1 permit 0.0.0.0 255.255.255.255第二步,应用到接口f0/0的出方向上
Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out拒绝特定主机的通信流量
第一步,创建拒绝来自172.16.4.13的流量的ACL
Router(config)#access-list 1 deny host 172.16.4.13 Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255第二步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 1 out扩展访问控制列表
扩展访问控制列表的配置
第一步,使用access-list命令创建扩展访问控制列表
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]第二步,使用ip access-group命令将扩展访问控制列表应用到某接口
Router(config-if)#ip access-group access-list-number { in | out }
规则
- 标准ACL和扩展ACL中可以使用一个字母数字组合的字符串(名字)代替来表示ACL的表号 2.
- 命名IP访问列表允许从指定的访问列表删除单个条目
- 如果添加一个条目到列表中,默认情况下该条目被添加到列表末尾 ,也可以在中间插入。
- 不能以同一个名字命名多个ACL
- 在命名的访问控制列表下 ,permit和deny命令的语法格式与前述有所不同
命名的访问控制列表
第一步,创建名为cisco的命名访问控制列表
Router(config)#ip access-list extended cisco第二步,指定一个或多个permit及deny条件
Router(config-ext-nacl)# deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router(config-ext-nacl)# permit ip any any第三步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group cisco out拒绝telnet流量通过E0
第一步,创建拒绝来自172.16.4.0、去往172.16.3.0、telnet流量的ACL
Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23Router(config)#access-list 101 permit ip any any第二步,应用到接口E0的出方向上
Router(config)#interface fastethernet 0/0Router(config-if)#ip access-group 101 out查看访问控制列表
Router#show access-listExtended IP access list cisco10 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq telnet20 permit ip any any阅读全文
0 0
- CCNA第六天(ACL访问控制列表)
- CCNA学习笔记十 ACL访问控制列表、包过滤
- 访问控制列表(ACL)
- 访问控制列表(ACL)
- ACL访问控制列表
- ACL访问控制列表
- 访问控制列表ACL
- ACL 访问控制列表
- 访问控制列表 ACL
- 访问控制列表ACL
- ACL访问控制列表
- 访问控制列表ACL
- 访问控制列表ACL
- ACL访问控制列表
- ACL访问控制列表
- ACL访问控制列表
- ACL 访问控制列表
- 访问控制列表-ACL
- Android自定义View之实现流行的新浪微博底部菜单:高仿“咸鱼APP”的底部菜单动画效果。
- 101. Symmetric Tree
- 设置网站字符集
- H5面试----简述一下src与href的区别
- greendao:3.2.0使用
- CCNA第六天(ACL访问控制列表)
- 正则表达式
- 有关继承的那点事丶
- git命令大全
- 87年兔竟然和88年龙是绝配,以后不要拿兔龙不合当借口了。
- iptables删除已有的iptables规则-yellowcong
- 单链表的建立、测长、删除、插入、排序、逆置及打印(数据结构)
- 47-不用加减乘除做加法
- java 基础 2
