Cisco交换机ACL的配置

访问控制列表(Access Control List   ACL)的含义和作用就不讲了,自行百度

一 .ACL讲解

ACL分标准访问控制列表(Standard ACL)和拓展访问控制列表(Extended ACL),如下

① 标准ACL(访问控制列表号1—99或1300—1999)
只过滤源地址,允许或禁止整个TCP/IP协议族
一般配置在靠近流量目的地的接口
配置方法如下:
router(config)#access-list 1 permit 172.16.0.0 0.0.255.255
router(config)#access list 1 deny any //系统隐含条件(implicit deny any)
router(config)#interface F0/0
router(config-if)#ip access-group 1 in
router(config-if)#exit
router(config)#interface F0/1
router(config-if)#ip access-group 1 out
router(config-if)#no ip access-group 1 out //在端口上卸除ACL绑定


值得注意的是要改变ACL列表条件只能删除整个表:
router(config)#no access-list 1


②拓展ACL(访问控制列表标号100-199或2000-2600)
过滤源或目的地址,允许或拒绝一个具体的协议和端口号
一般放在靠近流量源头处
用到端口号时常用的英文缩写   it gt eq neq(<、>、=、≠)
常见熟知端口号:
20 文件传输协议(FTP)数据通道
21 文件传输协议(FTP)控制通道
23 远程登录(Telnet)
25 简单邮件传输协议(SMTP)
53 域名服务系统(DNS)
69 普通文件传输协议(TFTP)
80 超文本传输协议(HTTP)
例1:
router(config)#access-list 101 deny ip 172.16.4.0 0.0.0.255 host 10.8.1.128
router(config)#access-list 101 permit ip 172.16.4.0 0.0.0.255 10.8.0.0 0.0.255.255
router(config)#access-list 101 deny ip any any //系统隐含条件(implicit denyall)
router(config)#interface s0
router(config-if)#ip access-group 101 out
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 21
router(config)#access-list 102 deny ip 172.16.3.0 0.0.0.255 host 172.16.4.10 eq 20
router(config)#interface f0/0
router(config-if)#ip access-group 102 out


例2:
允许192.168.10.10 ping 172.16.1.1,禁止反向测试:
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo
router(config)#access-list 199 deny icmp host 192.168.10.10 host 172.16.1.1 echo reply
router(config)#access-list 199 permit ip any any

③命名IP ACL(Cisco IOS v11.2以后支持)
例:
router(config)#access-list standard acl_1 //注明standard还是extended控制列表,名字可使用大多数字符
router(config-std-nac)#permit 172.18.0.0 0.0.255.255 log
router(config-std-nac)#no permit 172.18.0.0 0.0.255.255 log //no 命令移去特定语句
router(config)#interface f0/0
router(config-if)#ip access-group acl_1 out




④查看ACL列表
router(config)# show ip interface e0 //查看接口ACL绑定情况
router(config)# show accesslists //监视ACL内容
router(config)#show access-list [acl表号]】

二.实例


拓扑图如下(路由配置用的是RIP),其中DNS服务器中有两条记录:

ns.shzu.edu.cn 2.2.2.200

ftp.shzu.edu.cn 2.2.2.100


实验要求:

①1.1.1.0/24网段中的所有节点能ping通2.2.2.0/24网段中的DNS服务器,而无法ping通其他节点

②2.2.2.0/24网段中的节点不能访问Internet(即不能ping 通R2之后的节点)


实验过程

①配置R1


②配置R2


③测试



至此实验结束,ACL配置过程中其他值得注意的一些地方总结如下:

访问控制列表的顺序决定被检验的顺序,特殊规则放在最前面(如针对某个主机)
每个列表至少有一个允许语句
每个接口,每个协议,每个方向上只能绑定一个ACL列表





posted @ 2015-04-22 23:44  ZanDon  阅读(2454)  评论(0编辑  收藏  举报