Cisco交换机ACL的配置
访问控制列表(Access Control List ACL)的含义和作用就不讲了,自行百度
一 .ACL讲解
ACL分标准访问控制列表(Standard ACL)和拓展访问控制列表(Extended ACL),如下
① 标准ACL(访问控制列表号1—99或1300—1999)
只过滤源地址,允许或禁止整个TCP/IP协议族
一般配置在靠近流量目的地的接口
配置方法如下:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#access list 1 deny any //系统隐含条件(implicit deny any)
router(config)#interface F0/0
router(config-if)#ip access-group 1 in
router(config-if)#exit
router(config)#interface F0/1
router(config-if)#ip access-group 1 out
router(config-if)#no ip access-group 1 out //在端口上卸除ACL绑定
值得注意的是要改变ACL列表条件只能删除整个表:
router(config)#no access-list 1
②拓展ACL(访问控制列表标号100-199或2000-2600)
过滤源或目的地址,允许或拒绝一个具体的协议和端口号
一般放在靠近流量源头处
用到端口号时常用的英文缩写 it gt eq neq(<、>、=、≠)
常见熟知端口号:
20 文件传输协议(FTP)数据通道
21 文件传输协议(FTP)控制通道
23 远程登录(Telnet)
25 简单邮件传输协议(SMTP)
53 域名服务系统(DNS)
69 普通文件传输协议(TFTP)
80 超文本传输协议(HTTP)
例1:
router(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router(config)#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router(config)#access-list 101 deny ip any any
//系统隐含条件(implicit denyall)
router(config)#interface s0
router(config-if)#ip access-group 101 out
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router(config)#interface f0/0
router(config-if)#ip access-group 102 out
例2:
允许192.168.10.10 ping 172.16.1.1,禁止反向测试:
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router(config)#access-list 199 permit ip any any
③命名IP ACL(Cisco IOS v11.2以后支持)
例:
router(config)#access-list standard acl_1 //注明standard还是extended控制列表,名字可使用大多数字符
router(config-std-nac)#permit 172.18.0.0 0.0.255.255 log
router(config-std-nac)#no permit 172.18.0.0 0.0.255.255 log
//no 命令移去特定语句
router(config)#interface f0/0
router(config-if)#ip access-group acl_1 out
④查看ACL列表
router(config)# show ip interface e0 //查看接口ACL绑定情况
router(config)# show accesslists //监视ACL内容
router(config)#show access-list [acl表号]】
二.实例
拓扑图如下(路由配置用的是RIP),其中DNS服务器中有两条记录:
ns.shzu.edu.cn 2.2.2.200
ftp.shzu.edu.cn 2.2.2.100
实验要求:
①1.1.1.0/24网段中的所有节点能ping通2.2.2.0/24网段中的DNS服务器,而无法ping通其他节点
②2.2.2.0/24网段中的节点不能访问Internet(即不能ping 通R2之后的节点)
实验过程
①配置R1
②配置R2
③测试
至此实验结束,ACL配置过程中其他值得注意的一些地方总结如下:
访问控制列表的顺序决定被检验的顺序,特殊规则放在最前面(如针对某个主机)
每个列表至少有一个允许语句
每个接口,每个协议,每个方向上只能绑定一个ACL列表