ACL
目录
- 扩展ACL
- access-list 100 permit tcp any any eq 80
- access-list 100 permit tcp any any eq 21
- access-list 100 permit tcp any any eq 20
- interface e0
- ip access-group 100 out
- access-list 100 denty tcp 200.1.1.1 0.0.0.0 eq 23
- access-list 100 denty tcp 192.168.0.1 0.0.0.0 eq 23
- access-list 100 permit ip any any
- interface s0
- ip access-group 100 in
- 基于时间的ACL
扩展ACL
access-list 表号 处理方式 条件
表号:100-199
处理方式:permit(允许)deny(不允许)
条件:协议 源地址 目的地址 [运算符 端口号(eq 80)]
协议:
- ping :网络层 ICMP IP
- 传输层 :TCP UDP 端口:80
- 应用层:FTP20/21 Telnet23 HTTP80 SMTP25 DNS53
应用层和网络层协议不需要端口号
传输层需要加端口号
末尾默认语句
access-list 100 deny ip any any
需要改为:access-list permit ip any any
案例
允许web 和 ftp 其他服务禁止访问
-
access-list 100 permit tcp any any eq 80
-
access-list 100 permit tcp any any eq 21
-
access-list 100 permit tcp any any eq 20
-
interface e0
-
ip access-group 100 out
案例2
-
access-list 100 denty tcp 200.1.1.1 0.0.0.0 eq 23
-
access-list 100 denty tcp 192.168.0.1 0.0.0.0 eq 23
-
access-list 100 permit ip any any
-
interface s0
-
ip access-group 100 in
需要修改默认语句来让其他访问通过
放置位置
尽量接近数据发送源路由器
