ACL

扩展ACL

access-list 表号 处理方式 条件
表号:100-199
处理方式:permit(允许)deny(不允许)
条件:协议 源地址 目的地址 [运算符 端口号(eq 80)]

协议:

  • ping :网络层 ICMP IP
  • 传输层 :TCP UDP 端口:80
  • 应用层:FTP20/21 Telnet23 HTTP80 SMTP25 DNS53

应用层和网络层协议不需要端口号
传输层需要加端口号

末尾默认语句

access-list 100 deny ip any any
需要改为:access-list permit ip any any

案例

允许web 和 ftp 其他服务禁止访问

  1. access-list 100 permit tcp any any eq 80

  2. access-list 100 permit tcp any any eq 21

  3. access-list 100 permit tcp any any eq 20

  4. interface e0

  5. ip access-group 100 out

案例2

  1. access-list 100 denty tcp 200.1.1.1 0.0.0.0 eq 23

  2. access-list 100 denty tcp 192.168.0.1 0.0.0.0 eq 23

  3. access-list 100 permit ip any any

  4. interface s0

  5. ip access-group 100 in

需要修改默认语句来让其他访问通过

放置位置

尽量接近数据发送源路由器

基于时间的ACL

posted @ 2019-11-20 14:12  长江尾  阅读(179)  评论(0编辑  收藏  举报